Tråd: Jetcarrier lagrer passord i klartekst
View Single Post
zucchini
1
21. april 2016
Ettersom jeg har ansvaret for at denne funksjonen var i drift skal jeg gi en kortbeskrivelse og svare på spekulasjonene.

Endel meldinger her er ute i det blå mens andre har veldig gode anbefalinger som feks å ikke bruke samme passord overalt. Feks er det fortsatt mange phpbb og vbulletin forum som sender deg passord i klartekst, jeg får fortsatt passord i klartekst fra flere norske forum jeg deltar i så akkurat det er noe som henger igjen litt overallt.
Utgiverne av Phpbb & vbulletin har ordnet dette for lengst men antallet forum som ikke er oppdatert er mange, lisens på vbulletin koster jo penger så det er kanskje en grunn.

Når det gjelder jetcarriers løsning vil jeg ikke gå så mye mer inn på det enn å si at kundens passord er kryptert til et hash og er ikke reversibel. Kundedata ligger i kundedatabasen men hashet og passordet ble lagret i en tabell i ekstern database som kun inneholdt to felt, dvs hash og passord ( key - value). Null referanse til kundenummer, navn, etc. Denne ene tabellen lå i en Azure database, bak Azure firwallen, og tillot kun en IP å koble opp.

Som en servise til ikke datakyndige kunder ble passord sendt ut om vi traff tekst ved oppslag på hash og det gjorde vi stort sett ettersom key->value ble lagret eksternt.

Det eneste som kunne skje her var om noen sniffet opp emailen som gikk til: der message body inneholdt passordet.

Som alle her nå vet er den funksjonen fjernet det burde kanskje vært fjernet lenge før og det tar vi kritikk på.

Vi er selvfølgelig opptatt av å holde kundenes data sikret, alle er utsatt for hacking og vi er opptatt av å holde døra lukket og prøver samtidig balansere det mot kundevennlighet.

Jeg antar at som et resultat av denne tråden har vi sett litt DDoS forsøk fra ntnu servere og diverse andre norske domener / servere. Dette har blitt videremeldt til respektive ansvarlige for "abuse" og jeg tror at det er smart å holde seg unna slike aktiviteter.

Når det gjelder hvem som er billigst eller best får man gjøre sin egen mening, uansett blir det idiotisk å sammenligne med en tjeneste der momsjuks er hovedingrediensen.