Så fungerar FunBeat

Osäker inloggning?

Jar har alltid reagerat på att Funbeat inte har https på inloggningssidan, men tänkt att i alla fall inloggningsrutan är krypterad.

Men nu i senaste versionen av Firefox (51.0.1) visas ett överkryssat hänglås i adresslisten om inloggningssidan inte använder https-protokollet.

Citat från idg.se:
"Nya Firefox 51 hakar på Googles Chrome och lanserar en egen varningssymbol för sajter som ber dig om känsliga uppgifter – som lösenord – utan att använda sig av det krypterade https-protokollet."

Är det en trubbig varningsfunktion i Firefox som skriker i onödan, endast utifrån http vs https i sajtens url - eller en korrekt varning om en osäker inloggningsfunktion?

Visning av källkoden verkar vara blockerad, så det går ju inte att kolla.
 

2017-01-28 18:20
Likadant hos mig. Fast bara ibland. Har ingen aning om vare sig orsak eller betydelse.  

2017-01-29 20:49
Jag får hela tiden att det är fel på sidan som ska komma upp efter inloggning, "fortsätt till Funbeats startsida!"  

2017-01-31 09:11
Alltså, det är väl inte möjligt att på något meningsfullt sätt ha en "krypterad lösenordsruta" utan att använda https? Vad man än skickar blir ju läsbart för vem som helst och vem som helst och vem som helst kan kopiera det för att skaffa en egen session. Eller?  

2017-01-31 20:28
Man kan väl göra en egen kryptering i javascript och skicka det eller?
https är väl mest en fråga om att man ska kunna lita på att det är krypterat iom att man måste ha ett giltigt certifikat?!
 

2017-01-31 22:08
Christer: Förvisso kan man kryptera i javascript. Men ciphertexten som skickas, alltså det krypterade lösenordet, är fortfarande fritt läsbart för alla elakingar och eftersom det är det som Funbeat behöver få för att acceptera inloggningen så kan vem som helst skicka detta och därmed logga in sig som någon annan.  

2017-02-03 20:10
Med kod på såväl server- som klientsidan kan man se till att det password som skickas över nätet är krypterat olika varje gång! Frågan är varför, då som sagt https redan finns. Iofs vet jag det troliga svaret: NIH (Not Invented Here) dvs programmerare gillar att göra saker själva även om andra redan gjort det... Ganska vanligt fenomen...

Sen inte sagt att funbeat gjort det. Dom kanske skickar passwordet okrypterat Smiley
 

2017-02-04 12:59
Jovisst, man kan ha timestamps eller liknande med i det hela. Roade mig dock med att inspektera trafiken från sidan. Lösenordet skickas i cleartext :)  

2017-02-04 18:43
Ok, då vet vi det - dåligt funbeat! Om inte annat så är funbeat därmed ett extra dåligt ställe att ha samma password som någon annanstans (vilket man inte ska ha ändå förstås men nästan alla har 😉)  

2017-02-04 23:51
Då var inte Firefox så snett ute då, med sin varningssymbol...

Roade mig att gå till login-sidorna till ett flertal tränings-sidor, det var https på alla utom inhemska Funbeat & Jogg.se, som också resulterade i en varning från FF.

Häckade förut för länge sedan (tillsammans med många andra här) på puls.se, och där var det länge dålig säkerhet på inloggningen, tills det blev en massa klagomål angående det.

3 tränings-sajter med osäker inloggning, samtliga svenska... Nog för vi är lite naiva i det här landet, men WTF?

Instämmer med Christer, dåligt...
 

2017-02-06 20:42
Alltså... jag trodde inte det var sant... så jag kikade på trafiken med wireshark och jodå, där var mitt lösenord i klartext. Helt otroligt.  

2017-02-07 19:54
Det verkar som dom har implementerat säkerhet genom att det går så långsamt (för mig iaf) att det blir timeout första gången! Jämt likadant!  

2017-02-07 23:38
Idag finns inte längre något som helst skäl att INTE köra https. Vem som helst kan skaffa gratis cert.
https://letsencrypt.org/

Finns bara en sak att säga: FIXA!!!!!
 

2017-02-11 19:10
Nya Firefox 52.0 har trappat upp ett snäpp angående osäkra inloggningar och visar nu förutom det överstrukna hänglåset även en sådan här varning under Funbeats lösenordsruta:

External image

Va' kul det blir att se den vid varje inloggning... Smiley

Tror det är dags att leta upp någon ny träningssajt med bättre säkerhetstänkande. Och kartor som visar stigar...
 

2017-03-19 00:39
I.o.m. att det inte hörts något från Funbeat utvecklarna fast detta påpekats redan i början av 2017 slutar jag använda sidan nu. Jag godkänner inte att man 2017 inte kör https på en sida med inloggning när det t.o.m. finns gratis alternativ som https://letsencrypt.org/  

2017-08-24 16:03