Skrivet av karelin:
Vänta här lite nu. Du påstår alltså att det är lika lätt att fånga upp ett lösenord i plaintext (e-post) som när jag går in på httpS://www.sweclockers.com och skriver in mitt lösenord? Om du har insikt så får du hemskt gärna dela med dig av Sweclockers beslut att kategoriskt omdirigera mig till HTTP istället för att lägga lite tid och energi på att fixa SSL/TLS.
Om det är så enkelt som du beskriver det att fånga upp en TLS-session och göra en man-in-the-middle, då skulle internet gått sönder vid det här laget.
Det var inte det jag skrev. Det verkar som att du mixar två olika frågor:
säkerheten i att skicka ett temporärt lösenord över e-post (vilket var det jag svarade på)
skillnaden mellan HTTP och HTTPS i inmatningssteget (som Biberu utvecklade).
Liksom Biberu även poängterade ovan gällande fråga 1 så skulle en attackerare lika gärna kunna fiska upp en återställningslänk som ett lösenord över e-post, vilket var vad jag behandlade i mitt första svar. I båda fallen skulle attackeraren i så fall kunna ta över kontot. Om man behöver anta att användarens e-postkonto är "förlorat" så har man redan tappat bollen. I detta kan man skönja en generell svaghet med egentligen alla liknande system på nätet där man strikt antar att e-post är "säkert" — dvs att bara användaren i fråga kan läsa sina e-post — vilket det fundamentalt inte är om användaren inte driftar sin egen server och kräver krypterade mail med allt bestyr det innebär, men det är en sidodiskussion.
För att undvika osäkerheten över e-postkanalen så skulle SweClockers behöva ha någon form av mobilåterställning eller annan tvåfaktorsautentisering, men det tror jag inte användare skulle gilla/använda i nuläget i någon större utsträckning (jag skulle inte vilja ange mitt mobilnummer på var och varannan nätsida — jag får tillräckligt med oönskade säljsamtal ändå). Denna allmänna inställning hos nätsurfare kanske ändras allteftersom lösningar som exempelvis Yubikey som diskuterats i tråden blir vanligare, men det är en fråga för framtiden. Den uppenbara konsekvensen av att SweClockers skulle ha haft användares mobilnummer lagrade ser jag i nuläget vara att även denna information hade varit på vift.
Skrivet av karelin:
Lösenordsbyte där man verkligen bryr sig om användarnas säkerhet använder HTTPS just av den anledning att användaren ska kunna validera att de är på rätt domän och inte är fått någon ful-länk tillskickad. Där byter du lösenord direkt mot systemet - INTE skicka lösenordet i klartext över e-post.
Detta blir fråga 2, och är inte relaterat till att skicka en länk eller ett temporärt lösenord över e-post. Just SweClockers använder liksom Biberu tydliggjorde ovan HTTPS-anslutningar för exempelvis inloggning (testa exempelvis en lokal nätverkssniffer och se vilken information som skickas vid inloggning; tcpdump -XX dst sweclockers.com) och lösenordsbyte, så lösenordet en användare väljer är ständigt inkapslat i TLS-lagret mellan din webbläsare och SweClockers servrar.
Möjlighet till HTTPS över hela sidan (även desktopversionen) vore trevligt, men det är en affärsmässig och teknisk avvägning som många sidor på nätet kämpar med, där annonsörer och externt innehåll agerar bromsklossar. Att blanda krypterat och icke-krypterat innehåll ger negativa konsekvenser för användare, och i praktiken äventyrar det en grundtanke med säkerheten i HTTPS. Att okritiskt ta externt innehåll och servera det under eget certifikat är egentligen inte heller helt "ärligt", för om det externa innehållet är elakt (modifierar sidinnehållet, skjuter in farliga skript, etc.) så har man återigen underminerat en av grundtankarna med säkerheten. Sidor kan utöva påtryckningar på annonsörer, men krass verklighet är att polletten inte trillat ned hos alla aktörer. Se vad som händer om man klickar på dessa HTTPS-länkar till DN, SVD, Expressen, Aftonbladet, Blocket, … — det är inte för att webbutvecklare inte vill använda transportsäkerhet, utan snarare för att praktiska konsekvenser hindrar övergången. Att Google har börjat premiera HTTPS-länkar i sina sökresultat (om än bara marginellt än så länge) är något som lägger tryck på externa aktörer, så möjligen kommer detta långsamma skepp ändra kurs inom några år.
För att återgå till lösenordet så bör det återigen klargöras att det lösenord som SweClockers skickar ut när en användare begär återställning alltså inte är användarens egna lösenord (som SweClockers inte har någon kännedom om utöver dess motsvarande hash), utan ett slumpgenererat temporärt lösenord för kontoåterställning. Detta lösenord gör att den som har kontroll över användarens registrerade e-postkonto (vilket SweClockers antar är personen i fråga — man kan se det som en sorts 2FA där identitetskontrollen läggs ut på e-postleverantören) kan logga in och skriva in sitt nya lösenord (vilket alltså sker över HTTPS-protokollet — tryck på "Inställningar" på sidan och se hur hänglåset dyker upp i din webbläsare).
Tanken är inte att detta utskickade lösenord ska vara användarens nya permanenta lösenord. SweClockers kan inte förhindra att en användare väljer att fortsätta använda detta lösenord likväl, eller "123456", eller "abc123", eller "qwerty" (vissa sidor försöker med tekniska lösningar undvika de enklaste kombinationerna för att hjälpa användare, men generellt är det lönlöst att kämpa mot användares ovilja att välja bra lösenord ).
Skrivet av karelin:
Ta gärna rygg och kolla på hur Google/Hotmail eller någon annan större leverantör fixar biffen med lösenordbyte/förlorat lösenord.
Idén med e-poståterställning är att utnyttja just aktörer som Google och Microsofts säkerhet på respektive e-posttjänster, vilket i praktiken gör att även mindre sidor kan få samma säkerhet som varje individuell användare känner är tillräcklig för deras e-postkonto.
