Resetovanje šifre na Loopia kontrol panelu pokazuje plaintext šifra na stranici
#1
Kada se ode na https://www.loopia.rs/prijavljivanje/ i klikne na resetovanje šifre, tj https://www.loopia.rs/prijavljivanje/lozinka/ i unesu potrebne informacije dobije se link preko e-maila koji se opisuje kao "Ovu stranu možete da posetite samo jednom da bi se izbegla mogućnost zloupotreba. Korisničke informacije prikazane na ovoj strani su Vam neophodne za prijavljivanje na Kontrol panel za Vaš domen."

Kada se klikne, na toj web stranici iz mejla (https://www.loopia.rs/yourpassword?VEOMA_DUGACAK_STRING) dobije se korisničko ime, korisnički broj i šifra, ne ide se kroz password reset/recovery flow koji se može smatrati sigurnim.

Nisam se setio da lupim skrinšot, ako budem opet morao da odradim za nekoga dopuniću. Nisam siguran da li se šifra zaista resetuje pa pošalje ili samo pošalje prethodnu šifru iz baze, to treba proveriti i to bi bio dokaz da ne čuvaju šifre sigurno jer ne možemo znati da li je šifra u bazi u plaintext-u ili u reverzibilna.

Pitam se da li i kad se šalje SMS-om on samo pošalje šifru preko SMSa ili pošalje link za otvaranje, svakako je nesigurna praksa prikazivati korisniku šifru na ovaj način kako god bilo.
Reply
#2
Šifra se resetuje. Nakon što se generiše nova enkriptuje se i taj dugačak string je ključ za dekripciju. Kada se jednom prikaže, ono što je enkriptovano u bazi se briše i ne postoji.
Nije baš najsrećnije rešenje, ali nema mogućnosti curenja šifre.
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)