w.Intercom = i;Wachtwoord in plain tekst verzonden — tado° Community

Wachtwoord in plain tekst verzonden

Echt waar Tado?! Jullie versturen wachtwoorden in plain tekst?!


Antwoorden

  • Daarnaast ben ik geen lid van een andere woning 😒

  • Rob2
    Rob2 ✭✭✭

    Een https verbinding is op zich zelf al beveiligd, dus dit is geen "wachtwoord in plain text versturen".

    Evengoed blijft het onverstandig om een wachtwoord in een URL te versturen, want dan kan het gelogd worden en in dit soort foutmeldingen verschijnen. Dat behoeft inderdaad wel verbetering.

  • Bedankt voor het melden van deze foutmelding.

    Zoals mijn naamgenoot al zei, dit is versleuteld en veilig (en een zeldzame fout), maar het is op zijn minst een schoonheidsfout. Dit is iets wat niet zou moeten gebeuren en we gaan dit oppakken zodat dit niet meer op zal treden.

    Het is goed als dit soort dingen gemeld worden. We zien veel, maar niet alles. Dit soort feedback laat ons ons product verbeteren.

    tado°

  • Paswoorden als plain tekst opslaan in database?!

    De paswoord hash mag opgeslagen worden in database van Tado maar niet de plaint tekst. Indien database gehacked zijn alle paswoorden vrij te vinden. Met de paswoord hashes kan men verder niets doen.


  • Rob2
    Rob2 ✭✭✭

    Daar gaat het bovenstaande niet over! Het gaat om het linker gedeelte van het diagram, de user logt in en stuurt zijn password, niet om het gedeelte hashen en opslaan.

    Kennelijk wordt het wachtwoord als een URL parameter gestuurd. Dat is niet perse onveilig omdat het geheel over een https verbinding gaat, maar het is wel riskant omdat de ontvangen URLs wellicht gelogd worden, of zoals in bovenstaand voorbeeld terug komen in foutmeldingen. Zo kan het wachtwoord breder bekend worden dan nodig.

    Daarom is het beter om het wachtwoord niet als URL parameter maar als postdata of als request header (bijvoorbeeld maar niet beperkt tot een cookie) te versturen. Die worden meestal niet gelogd of terug gestuurd in meldingen.