Bokt.nl

**Geplaatst door de TopicStarter** : 13-06-14 07:13

Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 07:13

Waarom wordt er op bokt nog geen gebruik gemaakt van SSL? En dan voornamelijk voor bijv. het inloggen.
Het is me namelijk opgevallen dat bokt alle inlog data (gebruikersnaam en wachtwoord) nog steeds via een simpele POST over een niet versleutelde verbinding (http) gooit. Waardoor het kinderlijk eenvoudig is om inlog gegevens van mensen te onderscheppen.

Om dit aan te tonen heb ik onlangs even een simpel testje gedaan:
Een Man-in-the-middle gecreëerd. Dit kan makkelijk gedaan worden door het opzetten van:
-een WiFi accesspoint met dezelfde netwerkgegevens van een bestaand netwerk (met een sterker signaal), bijvoorbeeld die van de McDonalds
-maar ook openbare publieke WiFi netwerken zijn prima geschikt, omdat hier geen versleuteling plaats vindt. Dus alles onversleuteld door de lucht gaat. (Wat dus betekend dat als jij op een netwerk zit in een restaurant, iedereen die signalen kan ontvangen.)

Al het verkeer wat langs komt kan onderschept worden (met bijv. WireShark, wat daarna per frame nauwkeurig bekeken kan worden.
Maar ook in situaties dat men niet bewust een opstelling maakt, gaat nog steeds al het verkeer van/naar bokt onversleuteld over het internet. Waardoor in theorie iedereen dit zou kunnen lezen die op de route A-B ligt.

Zie hieronder een korte trace (waar wat overbodige gegevens onleesbaar zijn gemaakt)
Afbeelding

Ik hoop dat hier geen OW gedoe van komt, maar dat er openhartig naar gekeken wordt. Aangezien dit alleen bedoeld is om een bestaand probleem aan te kaarten. De vergaarde wachtwoorden heb ik reeds verwijderd en zijn ook nooit gebruikt.

**Geplaatst**: 13-06-14 07:24

Geplaatst: 13-06-14 07:24

Dan vraag ik me alleen af wat een hacker met inlog gegevens van een paarden site moet? Ik denk dat die liever voor de Rabobank gegevens gaan.

Met andere woorden, is dit niet heel ver gezocht??

Ik ben verder niet thuis in de internet wereld misschien daardoor wat naïef, maar hier op bokt staan geen spannende dingen van mij die hack waardig zijn.

**Geplaatst door de TopicStarter** : 13-06-14 07:27

Geplaatst door de TopicStarter : 13-06-14 07:27

O ik zeg ook niet dat je er écht iets aan hebt. Maar het is 1 niet zo netjes om die gegevens leesbaar over het internet te gooien en daarnaast gebruiken veel mensen wachtwoorden dubbel. Waar het dus zomaar kan gebeuren dat je met diezelfde gegevens ook bijv. het gmail of facebook account in komt.

Een professionele hacker die ziet hier inderdaad geen brood in

En ik weet zeker dat als ik een vals WiFi netwerk opzet (waar je niets van ziet) in de McDonalds vlakbij Horse Event, ik daar heel waarschijnlijk wel interessante dingen in zou kunnen vinden

**Geplaatst**: 13-06-14 07:30

Geplaatst: 13-06-14 07:30

Esther_r20 schreef:
Dan vraag ik me alleen af wat een hacker met inlog gegevens van een paarden site moet? Ik denk dat die liever voor de Rabobank gegevens gaan.

Met andere woorden, is dit niet heel ver gezocht??

Ik ben verder niet thuis in de internet wereld misschien daardoor wat naïef, maar hier op bokt staan geen spannende dingen van mij die hack waardig zijn.

En hoeveel mensen denk jij dat hetzelfde password overal gebruiken? Ik vind ook dat dat dom is (ik doe het zelf niet) maar helaas doen nog een heleboel mensen dat wel.
Ik snap ook niet waarom dit nog niet gebruikt wordt op bokt. Dit was ongeveer zo het eerste waar wij op gewezen werden in de les PHP. En de aanschaf prijzen voor een SSL-certificaat zijn nu echt de wereld niet meer...

**Geplaatst**: 13-06-14 07:55

Geplaatst: 13-06-14 07:55

Seb8iaan schreef:
Ik hoop dat hier geen OW gedoe van komt, maar dat er openhartig naar gekeken wordt. Aangezien dit alleen bedoeld is om een bestaand probleem aan te kaarten. De vergaarde wachtwoorden heb ik reeds verwijderd en zijn ook nooit gebruikt.

Ik snap niet waarom dit je openbaar zet en niet gewoon een pb stuurt naar Bart

Op deze manier breng je sowieso al andere mensen op ideeën.

**Geplaatst door de TopicStarter** : 13-06-14 07:59

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 07:59

Omdat er een specifiek forum is genaamd "forum zaken". Ik ga niet zomaar iedereen persoonlijk aanspreken, want wellicht dat iemand anders dit op pakt. En dan kan er ook over gesproken worden, want niet iedereen is zich bewust van het gevaar van publieke netwerken.

**Geplaatst**: 13-06-14 07:59

Geplaatst: 13-06-14 07:59

Sammie schreef:
Seb8iaan schreef:
Ik hoop dat hier geen OW gedoe van komt, maar dat er openhartig naar gekeken wordt. Aangezien dit alleen bedoeld is om een bestaand probleem aan te kaarten. De vergaarde wachtwoorden heb ik reeds verwijderd en zijn ook nooit gebruikt.

Ik snap niet waarom dit je openbaar zet en niet gewoon een pb stuurt naar Bart

Op deze manier breng je sowieso al andere mensen op ideeën.

Ik vind het juist wel fijn dat het openbaar staat, nu kunnen bokkers zelf ook maatregelen nemen. Ik denk dat Bart dit ook allang weet..

**Geplaatst**: 13-06-14 07:59

Geplaatst: 13-06-14 07:59

Omdat het anderen de ogen kan openen zodat ze weten dat niet alles veilig is. Je kunt wel alles via pb doen maar waar is dit sub forum dan voor. Ik vind het bv wel interessant om te weten

**Geplaatst**: 13-06-14 08:01

Geplaatst: 13-06-14 08:01

Polly schreef:
Ik vind het juist wel fijn dat het openbaar staat, nu kunnen bokkers zelf ook maatregelen nemen. Ik denk dat Bart dit ook allang weet..

Nou vertel! Wat kunnen Bokkers zelf doen? Die info zie ik nl. niet in de OP, of ik moet er overheen kijken.

En het tweede vind ik niet zo erg netjes. Aannames doen eer iemand hier zelf tijd heeft gehad om te reageren..

**Geplaatst door de TopicStarter** : 13-06-14 08:03

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 08:03

Nou ik wijs er op dat je beter geen publieke netwerken (wifi netwerken zonder wachtwoord op de verbinding) kunt gebruiken. Dan is de kans al een stuk kleiner, maar nog steeds niet weg. SSL zou dit op kunnen lossen, maar dat zit aan de kant van bokt.

**Geplaatst**: 13-06-14 08:16

Geplaatst: 13-06-14 08:16

Sammie schreef:
Polly schreef:
Ik vind het juist wel fijn dat het openbaar staat, nu kunnen bokkers zelf ook maatregelen nemen. Ik denk dat Bart dit ook allang weet..

Nou vertel! Wat kunnen Bokkers zelf doen? Die info zie ik nl. niet in de OP, of ik moet er overheen kijken.

En het tweede vind ik niet zo erg netjes. Aannames doen eer iemand hier zelf tijd heeft gehad om te reageren..

Bart is toch niet gek? Ik zie hem iig als iemand die veel van internet, verbindingen en fora etc weet iig veel meer dan ik en daar heb ik ook bewondering voor.

Waarom moet alles achterlangs? Mogen gebruikers dit niet weten? Het gaat toch om de gegevens van gebruikers? Jammer dat als er eens zoiets is dat er dan meteen berichten komen dat dit per PB moet, daar is FORUMzaken toch voor?

**Geplaatst**: 13-06-14 08:18

Geplaatst: 13-06-14 08:18

Seb8iaan schreef:
Nou ik wijs er op dat je beter geen publieke netwerken (wifi netwerken zonder wachtwoord op de verbinding) kunt gebruiken. Dan is de kans al een stuk kleiner, maar nog steeds niet weg. SSL zou dit op kunnen lossen, maar dat zit aan de kant van bokt.

En bovendien wordt er gewezen op de gevaren van hetzelfde wachtwoord gebruiken voor meerdere accounts. Ik zie hier echt wel de meerwaarde van.
Als dit straks op de mesthoop verdwijnt komt het echt over als censuur, als je het mij vraagt.

**Geplaatst**: 13-06-14 08:22

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 08:22

Goed punt om aan te kaarten en in mijn ogen prima om dat openbaar te doen

!

**Geplaatst**: 13-06-14 08:27

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 08:27

Dan weet ik dat ik een ander wachtwoord moet aanmaken

Of daar niet moet inloggen. dus toch wel nuttig ipv weer de achterdocht -> dit kan via pb....

**Geplaatst**: 13-06-14 09:03

Geplaatst: 13-06-14 09:03

Zonnetje81 schreef:
Dan weet ik dat ik een ander wachtwoord moet aanmaken Of daar niet moet inloggen. dus toch wel nuttig ipv weer de achterdocht -> dit kan via pb....

precies ik heb mn ww op bokt ook maar weer eens veranderd in iets wat onbenulliger is dan het was.

**Geplaatst**: 13-06-14 09:07

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:07

Goed dat het aangekaart is. Ik ben echt een :o?

op dit gebied, maar zal Bart even een pb sturen om hier te komen kijken.

**Geplaatst door de TopicStarter** : 13-06-14 09:09

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 09:09

Top, hoop dat er wat mee gedaan wordt. Want in het tijdperk van privacy first, is zoiets als dit natuurlijk best belangrijk

**Geplaatst**: 13-06-14 09:11

Geplaatst: 13-06-14 09:11

Seb8iaan schreef:
Top, hoop dat er wat mee gedaan wordt. Want in het tijdperk van privacy first, is zoiets als dit natuurlijk best belangrijk

Niet alleen dat, als ik het goed begrijp kan iedereen (met een beetje verstand hiervan, ik val al af

) dus bij de inloggegevens van moderators en andere teamleden? Dat lijkt me ook geen ideale situatie is voor bokt.

**Geplaatst**: 13-06-14 09:14

Geplaatst: 13-06-14 09:14

Ik doe geen uitspraken over of Bart gek is.

En ook niet of hij dit weet. Míj verbaast het me dat dit kan en vanuit dat oogpunt kijk ik naar dit topic.

De enige reden waarom ik aangaf waarom doe je dit niet via pb, omdat je mensen op ideeën kan brengen. Dat zou ik persoonlijk jammer vinden.. Het hele idee van censuur, onder tafel vegen en uit te delen OW”s verzinnen jullie echt er helemaal zelf bij. Als we het dan over ‘jammer van dat soort berichten’ hebben

En waarom is mij een raadsel, want dergelijke dingen zijn helemaal niet ter sprake gekomen en kunnen ook nog niet ter sprake zijn gekomen omdat er vanuit beheer/programmeerland nog niemand is geweest met een reactie

En persoonlijk denk ik ook niet dat dit ooit ter sprake gáát komen..

Er zijn eerdere soortgelijke berichten geweest over het googlekaartje en daar wist bart ook niks van. Hij was wel blij met de melding

**Geplaatst**: 13-06-14 09:16

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:16

Ik vind dit wel een nuttig topic, vooral omdat ik veel wachtwoorden hetzelfde heb. Nu niet van de echt belangrijke dingen die zijn anders. Maar zo kan ik er wel rekening mee houden op welke site ik wat doe en wat invul. Er is toch ooit een filmpje geweest over een man bij een cafe die via het wifi gewoon alles kon "kraken"

**Geplaatst**: 13-06-14 09:17

Geplaatst: 13-06-14 09:17

Ik krijg ineens een sterk gevoel dat men op Bokt hier zeker wel van bewust is en dat mogelijk zo de Schaduwaccounts ontdekt werden door het beheer van Bokt.
Want als je beschuldigd wordt van een SA en je vraagt om bewijzen dan krijg je die niet omdat Bokt de wijze waarop zij achter SA's willen komen heel graag geheim wil houden.
Ik krijg er een beetje een naar smaakje van in mijn mond.

Graag opheldering hierover Boktbeheer!

**Geplaatst**: 13-06-14 09:19

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:19

Waarschijnlijk zien ze dat gewoon aan de IP adressen waarmee je inlogt en niet de wachtwoorden die je via deze manier tevoorschijn kan toveren

Denk dat je nu een beetje dingen door elkaar haalt.

**Geplaatst door de TopicStarter** : 13-06-14 09:22

Geplaatst door de TopicStarter : 13-06-14 09:22

Schaduwaccounts zijn niet zo lastig te detecteren. IP's, Hostnames, Browser, etc etc kunnen eenvoudig over elkaar heen gelegd worden. Ik weet zat manieren om dat compleet tegen te gaan, maar dat terzijde.

Ik denk niet dat boktbeheer achter SA's komt dmv gebruikers logins, zou nogal omslachtig zijn en ik ga er ook niet vanuit dat al het netwerk verkeer (wat in het geval van bokt nogal wat is) gemonitord wordt

Laatst bijgewerkt door Seb8iaan op 13-06-14 09:22, in het totaal 1 keer bewerkt

**Geplaatst**: 13-06-14 09:22

Geplaatst: 13-06-14 09:22

Keet schreef:
Waarschijnlijk zien ze dat gewoon aan de IP adressen waarmee je inlogt en niet de wachtwoorden die je via deze manier tevoorschijn kan toveren Denk dat je nu een beetje dingen door elkaar haalt.

Nee, zeker niet.
Ik heb al eerder gemerkt dat Bokt privegegevens weet die niemand anders kan weten. Dus er wordt in je account gekeken. Ben er eigenlijk wel zeker van.

**Geplaatst door de TopicStarter** : 13-06-14 09:24

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 09:24

Ze kunnen ook in je account kijken direct in de database. Daar heb je geen inlog gegevens voor nodig. Maar dat kunnen alleen mensen met database rechten en ik denk dat Bart de enigste is (modjes iig niet). Dus voor misbruik van je inloggegevens vanuit het beheer hoef je denk ik niet bang te zijn :(:)

.