Hallo!
Bin am Firmenrechner automatisch eingeloggt. Wollte gestern abend aber von zu Hause auch etwas ins Forum posten, hatte aber mein Passwort vergessen. Ich habe keine Möglichkeit gefunden, mir mein Passswort zusenden zu lassen. War schon doof...

Aber nicht so schlimm:
Heute wieder in der Firma meine Registrierungsdaten aufgerufen, und siehe da: Im Formular, wo man sein Passwort ändern kann, steht es i HTML-Quelltext fein lesbar!

Für mich war es jetzt ein Feature, aber ist das nicht eigentlich ein Bug, bzw. sollte bei so einem Formular nicht doch mit Platzhaltern gearbeitet werden?

CU
Michael Schmidt
Hamburg

Ja es ist schlecht, Nein es ist kein Bug, es ist HTML.

Aber es ist unnötig!
Es gibt keinen Grund, das Passwort an den Client zu schicken,
dann aber als Punktdarstellung. Dann lieber einfach 8 Punkte und keinen HTML-Value setzen. Auswerten braucht man es ja nur, wenn der User etwas geändert hat, sprich: Sein Passwort ändern wollte.

CU
Michael Schmidt
Hamburg

Äh... Michael... kuck dir mal die Cookies für MTN an Da steht dein Benutzername und Kennwort auch drin. Im Klartext

mach mal einen Screenshot scnr

Potzblitz! Tatsächlich!
Warum macht man sowas?
Und MacWelt auch!

Das ist unnötig!
Selbst bei automatischer Anmeldung reicht es doch, die UserID zu speichern und den Vermerk, das dieser User automatisch angemeldet sein möchte. Dann kann der WebServer sich das dazugehörige Passwort aus der DB holen, intern die Anmeldeprozedur durchlaufen und gut ist.

CU
Michael Schmidt
Hamburg

Das sagst Du so einfach...
Die Problematik hatten wir hier schon des Öfteren angesprochen.

Ist schon irendwie unsicher

Jeder, der sich mit Cookies auskennt, könnte ne Page Programmieren, die den Usernamen und das Passwort ausliest und im Hintergrund an den Webmaster sendet. So könnten sich geschickte User eine nette Datenbank anlegen...

Logisch, Rumstänkern ist immer leicht

Fiel mir halt nur auf, und in meinem Fall war es auch gut, weil ich dadurch das Passwort wieder weiss. Aber elegant/fein ist es halt nicht, das Passwort ins Cookie oder in den HTML_Quellcode zu schreiben.

Vielleicht sollte MTN das als Tipp für's nächste Update sehen.
Ich würde es jedenfalls begrüßen. Und wenn es keiner sagt, wird es auch nicht behoben werden.

CU
Michael Schmidt
Hamburg

Thunderson
Soll ja eigentlich nicht stimmen, der Browser lässt den Zugriff auf die Cookiedaten nur für den WebServer zu, der den Cookie geschrieben hat.

CU
Michael Schmidt
Hamburg

MTN hat so viele Tips vorliegen, dass die armen Jungs Jahre brauchen werden, um auch nur einen Bruchteil davon umzusetzen!

OK, das macht das ganze dann natürlich wieder ein wenig sicherer, sofern dass natürlich alle Browser unterstützen...

Nene, nix sicher Wenn du am gleichen Strang hängst - also deine lieben Kollegen um dich herum gehören evtl. dazu - brauchst du nur tcpdump oder einen anderen Sniffer starten und schon hast du die Zugangsdaten.

Zugangsdaten im Klartext übers Netz zu schicken ist pfui Deswegen nimmt ja auch niemand mehr telnet Bei ftp scheint sich das noch nicht so recht rumgesprochen zu haben

Naja, wäre jedenfalls nett, wenn MTN irgendwann mal auf Session-IDs umstellen würde.

sonorman
leider sind das keine tips, sondern eher hinweise!!

und rantanplan geb ich da recht!

lemongrass

Ich sagte MTN hat Tips <u>vorliegen</u>.
Ausserdem schrieb Michael Schmidt <i>"Vielleicht sollte MTN das als Tipp für’s nächste Update sehen."</i>

Also bitte, keine Haarspaltereien.