Kada se ode na https://www.loopia.rs/prijavljivanje/ i klikne na resetovanje šifre, tj https://www.loopia.rs/prijavljivanje/lozinka/ i unesu potrebne informacije dobije se link preko e-maila koji se opisuje kao "Ovu stranu možete da posetite samo jednom da bi se izbegla mogućnost zloupotreba. Korisničke informacije prikazane na ovoj strani su Vam neophodne za prijavljivanje na Kontrol panel za Vaš domen."
Kada se klikne, na toj web stranici iz mejla (https://www.loopia.rs/yourpassword?VEOMA_DUGACAK_STRING) dobije se korisničko ime, korisnički broj i šifra, ne ide se kroz password reset/recovery flow koji se može smatrati sigurnim.
Nisam se setio da lupim skrinšot, ako budem opet morao da odradim za nekoga dopuniću. Nisam siguran da li se šifra zaista resetuje pa pošalje ili samo pošalje prethodnu šifru iz baze, to treba proveriti i to bi bio dokaz da ne čuvaju šifre sigurno jer ne možemo znati da li je šifra u bazi u plaintext-u ili u reverzibilna.
Pitam se da li i kad se šalje SMS-om on samo pošalje šifru preko SMSa ili pošalje link za otvaranje, svakako je nesigurna praksa prikazivati korisniku šifru na ovaj način kako god bilo.
Kada se klikne, na toj web stranici iz mejla (https://www.loopia.rs/yourpassword?VEOMA_DUGACAK_STRING) dobije se korisničko ime, korisnički broj i šifra, ne ide se kroz password reset/recovery flow koji se može smatrati sigurnim.
Nisam se setio da lupim skrinšot, ako budem opet morao da odradim za nekoga dopuniću. Nisam siguran da li se šifra zaista resetuje pa pošalje ili samo pošalje prethodnu šifru iz baze, to treba proveriti i to bi bio dokaz da ne čuvaju šifre sigurno jer ne možemo znati da li je šifra u bazi u plaintext-u ili u reverzibilna.
Pitam se da li i kad se šalje SMS-om on samo pošalje šifru preko SMSa ili pošalje link za otvaranje, svakako je nesigurna praksa prikazivati korisniku šifru na ovaj način kako god bilo.