Senaste nytt

Eurobonuspoäng stulna från hackade konton

lnixon

Medlem
Det här ser ju inte så bra ut:

SAS-kunder frastjålet bonuspoeng - DN.no

Det är nog en bra idé att inte logga in på sina Eurobonus-sidor över okrypterade trådlösa nätverk. (Apropå det; tänk om SAS-loungerna kunde erbjuda krypterat nät. Det är nog mycket värdefull information som skickas i klartext på de näten...)
 

johhenrik

Medlem
Det är ju rätt onödigt att kryptera, eftersom man måste lämna ut nyckeln till alla om de ska kunna använda det...
 

mha321

Medlem
Nackdelen med att ha "för många partners". När man kan göra saker som köpa Amazon-gift-certs så blir det väldigt mycket enklare att få till något sådant utan att åka dit. (Lite svårt att köpa flygbiljetter utan att i något läge "åka fast" på det)

Får verkligen hoppas att det får SAS att göra om och köra hela webbsiten och alla APIer 100% krypterat. Finns ingen anledning att hålla på och fjanta med blandningar som de gör idag.

Om jag inte minns fel så körde de en kort period till och med kortnummer i klartext när man bokade i iPhone-appen precis i början. Typisk effekt av att ha outsourcat olika delar till olika spelare och inte lyckats hålla ihop delarna ordentligt (har sett precis sådan miss på flera andra ställen i sådana fall).
 

lnixon

Medlem
Det är ju rätt onödigt att kryptera, eftersom man måste lämna ut nyckeln till alla om de ska kunna använda det...

Man skulle kunna tro det, men alla anslutna enheter har (enkelt uttryckt) en egen krypterad kanal. Man kan alltså inte avlyssna andras trafik även om man vet nätets WPA-lösenord.

(Eller, ja, det finns fortfarande attacker som kan utföras, men man kan i alla fall inte bara avlyssna passivt.)
 

Paby

Medlem
Designen av sas.se är verkligen under all kritik säkerhetmässigt (nåväl, även på andra sätt) men det är ju SAS IT vi har att göra med...

Just problemet att inloggningsuppgifter skickas i klartext går att förhindra genom att gå till https://www.sas.se istället för http://www.sas.se i browsern. Normalt gör siter om sessionen till https om inloggningsuppgifter ska skickas men inte sas.se. Om man som användare däremot tvingar sessionen att vara säker från start med https så fortsätter den att vara det när inloggningsuppgifter skickas.

Jag har ett bookmark till https://www.sas.se som jag använder för att inte göra bort mig och råka köra okrypterat - ett tips!
 
Last edited:

Paby

Medlem
SAS har nu ändrat beteendet för sas.se för att stoppa möjligheten för kriminella att snappa upp okrypterade inloggningsupgifter. Alla sessioner initieras nu automatiskt som https istället för http.
 

mha321

Medlem
Really? Inte hos mig, vad jag kan se.

Det gör de definitivt inte, och inloggningsformuläret som sådan är fortfarande okrypterat. Och de cookies som sätts har inte secure-flaggan, och innehåller galet mycket information. Inte password (det vet jag inte om de gjorde förut heller), men EB nivå, EB-nummer, poängbalans osv är fritt fram (men de ligger å andra sidan på den okrypterade sidan också).

Så nej, det är defnitivt inte fixat.
 
Toppen