LET OP: site onveilig

Emiel

Berichten: 3004
Februari 02, 2022, 19:04:00
edit2Rapporteer  
Hoi Kitesurfers,

Deze site is niet meer veilig. Log niet meer in op deze site, dan kunnen kwaadwillende je wachtwoord achterhalen.
Verander ook overal je wachtwoorden waar je hetzelfde wachtwoord gebruikt als op deze site. Dit geld ook voor hanglos.nl, die site is ook totaal niet veilig.

Dit heb ik een tijdje terug ook al aangegeven op hanglos: http://hanglos.nl/forum/waar-kiten/topics/1376/lac-de-serre-poncon-wie-gaat-er-heen.html
Een admin heeft daar aangegeven dat ze er snel wat aan gaan doen. maar bijna een maand later is er nog steeds niets gebeurd.
Ik hoop dat deze site wel sneller maatregelen neemt.

Ik ben overigens niet Emiel, maar wel dezelfde persoon als die het beveiligingslek op hanglos had ontdekt. Ik kan overigens op ieder willekeurig account inloggen. Ook nu ben ik geen kwaadwillend iemand. Maar doe er aub wel wat mee. Bij Hanglos doen ze het niet, wat schandalig is. Er zijn gewoon gegevens gelekt en ze gaan gewoon vrolijk door. Ik hoop dat kitehigh wel maatregelen neemt.

Groeten,

Niet Emiel maar iemand anders, en nogmaals ik heb geen kwaadwillende bedoelingen. Maar kijk uit en log niet meer in hier totdat het beter beveiligd is.
Evan
Administrator

Berichten: 9650
Logs: 0 | 1481 uur
Antwoord #1 Februari 04, 2022, 13:00:01
edit2Rapporteer  
Gaat dit om het missen van https of is de server/code zelf het probleem?
Roderick

Geen avatar

Berichten: 217
Antwoord #2 Februari 07, 2022, 00:24:43
edit2Rapporteer  
Oeh. het missen van https op een site waar je op kunt inloggen is inderdaad wel een vrij groot gat. Mocht je hem nog niet kennen, kijk eens op: https://letsencrypt.org/ Daar kun je ssl certificaten aanvragen, en zelfs automatisch laten verlengen zonder dat je er een rekening voor krijgt.
Evan
Administrator

Berichten: 9650
Logs: 0 | 1481 uur
Antwoord #3 Februari 08, 2022, 15:02:56
edit2Rapporteer  
Beveiling staat inmiddels aan, nu de taak om alle hardcoded http-links in de code om te zetten naar https om van alle foutmeldingen af te komen.....

Zelf helaas weinig tijd om dat aan te pakken, dus als iemand zich geroepen voelt!
damsko

Geen avatar

Berichten: 60
Antwoord #4 Maart 05, 2022, 16:55:22
edit2Rapporteer  
Een eerste stap is om in ieder geval deze header op alle responses mee te sturen. Dan gaan browsers vanzelf naar https ook al stuur je ze naar een onbeveiligd deel van de site: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

Als je toch je reverse proxy aan moet passen kun je ook gelijk alles dat op http binnen komt redirecten naar https. Aan de header te zien gebruik je Apache dus:
https://stackoverflow.com/questions/16200501/how-to-automatically-redirect-http-to-https-on-apache-servers

Die linkjes zou ik niet aan beginnen.
« vorige volgende »
Ga naar:  


© 2002 - 2022 Kitehigh

Sorry, the copyright must be in the template.
Please notify this forum's administrator that this site is missing the copyright message for SMF so they can rectify the situation. Display of copyright is a legal requirement. For more information on this please visit the Simple Machines website.