Passwort bei voipbuster im Klartext zu sehen !!

[dbg]

Hallo.
Wenn ich mich bei voipbuster.com einlogge (Button signin oben rechts), geht ja ein zweites kleines Fenster auf, in dem ich dann meine Daten sehe. Voller Schreck fiel mir eben auf, dass in der Titelleiste des Browserfensters (die blaue Leiste ganz oben) dabei für ca. 2 oder 3 Sekunden mein Passwort im Klartext zu lesen ist (innerhalb der URL, in der dieses übergeben wird).
Kann das mal jemand testen, ob das bei ihm auch der Fall ist.
Das wäre ja ziemlich heftig.

 

[VoipBasti]

Bei mir ist das nicht der Fall.
Ist aber eine verschlüsselte Verbindung!

 

[dbg]

siehst du denn in diesem zweiten, kleinen Fenster die URL ?
Also https://www.voipbuster.com/customerlogin.....

Selbst bei einer SSL-Verbindung ist ja noch das Problem, dass mit jemand (böse Absichten unterstellt) über die Schulter guckt.

 

[VoipBasti]

Ich logge mich immer unter
https://www.voipbuster.com/customerlogin/index.php
ein. Hab die Seite als Lesezeichen gespeichert.
Es treten keine Probleme mit der URL auf. Kein Passowrt zu sehen.
Mein Browser ist allerdings Firefox. (kann ich nur empfehlen!)

 

[betateilchen]

Es ist richtig, daß das Paßwort unverschlüsselt übertragen wird. Die https Verbindung wird erst danach hergestellt.

 

[dbg]

Es ist richtig, daß das Paßwort unverschlüsselt übertragen wird. Die https Verbindung wird erst danach hergestellt.

Ist es bei Dir auch im Klartext zu sehen ?

 

[dbg]

Mein Browser ist allerdings Firefox. (kann ich nur empfehlen!)

Stimmt. Firefox zeigt das PW nicht an. Das macht nur der IE 6 ;-(

 

[VoipBasti]

Es ist richtig, daß das Paßwort unverschlüsselt übertragen wird. Die https Verbindung wird erst danach hergestellt.

Sicher?
Folgendem Screenshot entnehme ich, dass die Verbindung ab der Passworteingabe sicher ist. Oder?
Begründung: das Schloss-Symbol und "https".

 

[Maik]

Sicher?
Folgendem Screenshot entnehme ich, dass die Verbindung ab der Passworteingabe sicher ist. Oder?
Begründung: das Schloss-Symbol und "https".

Falsch. Daran kannst du nur erkennen, dass die aktuell angezeigte Seite ueber https uebertragen wurden. Das Passwort wird aber erst beim naechsten Verbindungsaufbau mitgesendet.

 

[b90210]

Der nächste Verbinsungsaufbau ist aber auch ein sicherer, alles andere wäre auch sehr ungewöhnlich und unüblich aber nicht unmöglich, deswegen ist die Vermutung zu 99% richtig...

 

[Honk]

Ich kann nicht nachvollziehen, dass hier ein Passwort via HTTP unverschlüsselt übertragen wird. Habe mit Ethereal gesnifft und nix gefunden.
Das Formular mit den Benutzerdaten wird sowohl von voipbuster.com, als auch von voipbuster.com/customerlogin/index.php über eine HTTPS-Verbindung gesendet, und die HTTPS-Verbindung ist aktiv _bevor_ das Passwort übertragen wird.
In beiden Fällen wird über JavaScript eine SSL-Verbindung beim Submit aufgebaut.
Sollte ich hier falsch liegen, lasse ich mich gern eines besseren belehren.

Gruß,

 

[TinTin]

Schon bei der Erst-Registrierung eines accounts über den VoipBuster Client schickt dieser account Namen, Passwort, email Adresse und MAC-Adresse des Rechners im Klartext übers Internet.

 

[Honk]

Den Client habe ich nicht geprüft...
Macht der das nur bei der Erstregistrierung, oder auch im normalen Betrieb?
Wäre schon ärgerlich, da eine Authentifizierung via Challenge Response bei SIP doch möglich ist, sofern bei voipbuster implementiert.

Gruß,

 

[betateilchen]

man braucht den VoipBuster-Client ja ohnehin nur für die Erst-Registrierung :wink:

 

[TinTin]

@honk

Er macht es nur bei der Erst-Registrierung, danach läuft es über MD5 challenge via IAX (sip kann der VoipBuster Client nicht).