Elendig epostsikkerhet

Tonny Kluften

Tonny Kluften

Administrator
Sjekket loggen (awstats) til en av klientene mine i dag. De får mye trafikk fra eposter fordi de sender ut mye reklame på epost. Jeg klikket på en av epost-referrerlinkene for å sjekke hvilket firma dette gjalt og sannelig min hatt, jeg kom rett inn på epostkontoen til daglig leder i en IT-bedrift i Oslo.

Kort oppsummert:
- Den daglige lederen har klikket på linken i eposten (en vanlig link til forsiden på et nettsted).
- Det blir opprettet en oppføring i loggen til klienten min.
- Jeg sjekker loggen, klikker på noen linker for å se på nettstedene.
- Jeg leser (kunne ha gjort hvis jeg var en snok) eposten til daglig leder.

Hvordan kan dette være mulig? Sendes det med passord når referreroppføringen lages eller er ikke epostkontoen passordbeskyttet?

Dette er jo sinnsvakt sløvt, dette er en IT-bedrift som lever av å selge programvare til en spesiell næring. Tør ikke tenke på sikkerheten i den programvaren.
 
hansvh

hansvh

Medlem
Det var mail_user=3b83aa5c126d344f jeg mente med session id. Jeg ser for meg at en av to ting kan være mulig. Begge er selvsagt stygt, sikkerhetsmessig.

1) 3b8[...] er hashen til passordet til per og "du" vil for alltid kunne lese hans epost. Elendig løsning, og lite trolig.

2) 3b8[...] er hashen til sesjonen hans og "du" vil ikke kunne lese hans epost etter at sesjonen timer ut, f.eks i dag. Mao. hadde du flaks med timingen på når du testet. Webmail-programvaren burde uansett sjekket denne sesjons-IDen opp mot IP og nettleser for å forhindre denne typen kapring. Det er helt sprøtt at det ikke blir gjort.

Hvis den samme addressen fungerer i dag tror jeg det er førstnevnte som skjer.

Står det noe sted hva slags webmail-programvare som benyttes? Jeg synes et spark/tips til leverandøren av programvaren er på sin plass. Kanskje det er egenutviklet?
 
Sist redigert:
Du må logge inn eller registrere deg for å svare her.
Topp