[robertsson]

Storkupp skrämmer pokersajt till större säkerhetstänkande

Jag läste artikeln på IDG om killen som blivit av med 500.000 kr från sitt pokerkonto och kom tänka på att det finns många andra ställen där man kan ha pengar där säkerhetem är lika bristfällig. T.ex. Tradedoubler, PayPal, GoDaddy. Fast domäner kanske skulle gå att få tilllbaka om man fick dom bestulna, värre om nån kommer över ens TD konto och ändrar kontonummer timmar innan utbetalning.

[Henrik Larsson]

Om man är tanklös och bara skriver in TD:s URL i webbläsaren för att sedan logga in på sitt konto där, så har man just överfört sitt användarnamn och lösenord i klartext. För att logga in över SSL-förbindelse krävs att man explicit besöker https://-sidorna från början.

SSL borde alltid krävas vid inloggning till TD:s gränssnitt.

[alexut]

Citat:

Då räcker det inte med långa lösenord, säger Joel Jacobson, som tycker att det absolut bästa vore om användarna bytte till Mac OS X.

Jag håller med att MacOS X är ett bra alternativ men jag förstår inte hur det skulle bli högre säkerhet med MacOS X, där lär ju finnas trojaner också.

[patrikweb]

MacOS X bygger vad jag vet på *BSD och antagligen delar från linux, alltså ett mycket vettigt system.

Att många sidor skulle behöva högre säkerhet är väl ingen nyhet, att vissa inte ens använder SSL för viktiga sidor är mycket illa.

[robertsson]

Citat:

Originally posted by Henrik Larsson@Oct 17 2005, 23:50
Om man är tanklös och bara skriver in TD:s URL i webbläsaren för att sedan logga in på sitt konto där, så har man just överfört sitt användarnamn och lösenord i klartext. För att logga in över SSL-förbindelse krävs att man explicit besöker https://-sidorna från början.
SSL borde alltid krävas vid inloggning till TD:s gränssnitt.

Om du har fått in en keylogger i din burk så hjälper inte 256 bitars kryptering.

[Charlie]

Mac OS X har tydligen ett bra skydd mot keyloggers genom att ha en särskild implementering av lösenordsrutor, vilket gör att andra processer inte blir "medvetna" om knapptryck om markören befinner sig inuti en sådan.

Det finns förmodligen sätt att komma runt det. Och naturligtvis finns det fler sätt att lura människor, t ex genom social engineering; men i varje fall är det enligt den informationen svårare att skriva en regelrätt keylogger för lösenord till Mac OS X.

[patrikweb]

Självklart duger inte kryptering, alla fall inte om man kör Windows. Men att inte alls köra det är mycket illa. Folk reser kanske mycket och sitter på trådlösa nätverk och spelar poker eller liknande att inte ens ha SSL då är verkligen att ha en stor skylt på dig med mitt lösenord till XXXX är XXX.

Sedan handlar det om hur mycket skada dom kan göra med lösenordet, har du någon hundrig bara så är inte en digipass det första man tänker man behöver.

[martineden]

Citat:

Originally posted by Henrik Larsson@Oct 17 2005, 23:50
Om man är tanklös och bara skriver in TD:s URL i webbläsaren för att sedan logga in på sitt konto där, så har man just överfört sitt användarnamn och lösenord i klartext. För att logga in över SSL-förbindelse krävs att man explicit besöker https://-sidorna från början.

SSL borde alltid krävas vid inloggning till TD:s gränssnitt.

"man är tanklös och bara skriver" .. hur ska man annars logga in om inte genom webbläsaren?

En annan fråga: Vem har domännamn för 500' på GoDaddy.com?

[Henrik Larsson]

Citat:

Originally posted by martineden@Oct 19 2005, 14:47
"man är tanklös och bara skriver" .. hur ska man annars logga in om inte genom webbläsaren?

I normala fall så skriver inte jag i första hand https:// framför de URL:er som jag matar in i min webbläsares adressfält utan nöjer mig med att skriva URL:en utan http:// följt av webbläsarens automatiska komplettering till http:// som prefix/protokoll.

[robertsson]

Citat:

Originally posted by martineden@Oct 19 2005, 14:47

En annan fråga: Vem har domännamn för 500 på GoDaddy.com?

Var ska man annars ha dom? Senast jag försökte flytta mina domännamn till SEB's internetbank så hade inte banken den tjänsten.