|
Citat:
|
Inte bra alls, känns som att Loopia tappar mot Binero för varje dag som går nu. Tror dock de fortfarande är nog vakna för att fixa till det här relativt fort.
|
Tror också att dem kommer fixa detta relativt fort för att minimera den negativa effekten det kan ha.
|
Binero är faktiskt värre i dagsläget när det gäller lösenordhantering... :(
|
Har man inte gjort någon ordentlig genomgång av flera webbhotell (helst majoriteten) så är det inget annan än löpsedels-journalistik som så många ägnar sig åt numera... Visst, det finns brister som givetvis bör åtgärdas men det är ICA om igen....
|
men detta är väl knappast någon nyhet för oss som använder de olika hotellen? Att bland annat Loopia har dålig säkerhet kan man direkt förstå första gånger du erhåller ett lösenord av dem, eller på annat sätt loggar in eller liknande. Min bedömning är inte att det är så allvarligt, även om det bör åtgärdas snarast. Det också konstigt att det finns sådana, för mig oförståliga, begränsningar så som antal tecken i lösenordet till 16 samt inga specialtecken. Någon som kan se en tekniks orsak till att man gör så?
|
Citat:
|
177482997121587371826171875
Så många olika kombinationer får du på de 35 tecken som det blir med 16 olika positioner. Är det verkligen så dåligt, försök knäcka det... Fast det är klart, om man tillåter 4 tecken långa lösenord blir ju kombinationerna ganska mycket färre... |
Jag är inte oroad över att dom lagrar lösenorden i klartext eller att kombinationerna är få. Det är tillräckligt hög säkerhet för att anses väldigt säkert.
Däremot att dom skickar lösenorden i klartext. Nu förstod jag inte riktigt om själva lösenordet var i med i URL'en (Mycket korkat i så fall) eller om det bara visades med hjälp av en engångs-url. Jag har loopia själv och har inte sett några lösenord i URL'erna. Att dom visas i klartext gör mig inte så mycket, bara det är en https förbindelse. |
Nu har det gått en månad sedan artikeln i IDG, och fortfarande är det samma system som gäller. I artikeln står det att Loopia "ber att få återkomma", men så tycks inte ha skett?
Nån här som har hört nåt om det är på gång att se över lösenordshanteringen, eller det kanske rent av finns nån representant från Loopia som faktiskt vet hur företaget resonerar? Hos Binero skedde det minsann förändringar när folk påtalade deras brister. ;) |
Jag såg nu att Loopia lovar ökad säkerhet inom ett par månader. En månad kvar tills lösenorden blir hashade då. :)
|
Citat:
|
Någon som vet om detta är åtgärdat nu?
Jag har haft dålig koll på deras nyhetsbrev. Numera måste man skriva lösenordet med korrekta gemener/versaler, men om man hashat lösenorden eller bara kompletterat med case-sensitive är svårt att säga. |
Citat:
Nu är säkerhet ingenting som man någonsin blir klar med, men jovisst har vi åtgärdat bland annat de påpekade områderna när det gäller inloggningen till våra kontrollpaneler. Jag kommer inte att gå ut med några detaljer kring ändringarna eller de specifika lösningarna, eftersom det också är en säkerhetsfråga, men nu kan man vara ännu säkrare än tidigare och inte ens vi själva kan ta del av de lösenord våra kunder ställer in. Notera också att vi sedan tidigare tillhandahåller FTPS (Krypterad FTP-kontrollkanal) samt krypterade tjänster för e-post. Man kan alltså, om man vill, vara "helt" krypterad i sin anslutning hos Loopia. Notera dock att filer man överför med FTP är i klartext. |
Citat:
|
Citat:
Däremot känns det inte lika bra att ens leverantör förespråkar "security by obscurity". |
| Alla tider är GMT +2. Klockan är nu 20:42. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson