Unverschlüsselte Anmeldung (!)

Hi,

wollte mal drauf hinweisen, dass im Oxid-Standard die Links auf /mein-konto/ nicht in den SSL-gesicherten Bereich führen.

Hierzu muß der href-Teil “ident=$oViewConf->getSelfLink()” nach “ident=$oViewConf->getSslSelfLink()” geändert werden.

Wer die Inputs für die Anmeldung wie im Standard auf der Startseite hat, müßte eigentlich die ganze Startseite von https:// laden.

Ansonsten dürften wohl Anmeldename und Paßwort gut mitzulesen sein.

Schöne Grüße,
Achim

[QUOTE=oxal;31458]Hi,

wollte mal drauf hinweisen, dass im Oxid-Standard die Links auf /mein-konto/ nicht in den SSL-gesicherten Bereich führen.

Hierzu muß der href-Teil “ident=$oViewConf->getSelfLink()” nach “ident=$oViewConf->getSslSelfLink()” geändert werden.

Wer die Inputs für die Anmeldung wie im Standard auf der Startseite hat, müßte eigentlich die ganze Startseite von https:// laden.

Ansonsten dürften wohl Anmeldename und Paßwort gut mitzulesen sein.

Schöne Grüße,
Achim[/QUOTE]
Für diejenigen, die solche Informationen entschlüsseln wollen, ist auch SSL kein Hindernis…

Ist also nur eine Pseudo-Sicherheit.

Es reicht wenn die Form Action auf https verweist, das Formular selbst muss nicht über SSL geladen werden damit die Anmeldedaten verschlüsselt werden.

Hallo,

[QUOTE=leofonic;31479]Es reicht wenn die Form Action auf https verweist, das Formular selbst muss nicht über SSL geladen werden damit die Anmeldedaten verschlüsselt werden.[/QUOTE]

Richtig. Wichtig ist, dass die Daten während des Transports (nach Absenden des Formulars) verschlüsselt werden. An allen anderen Stellen hatten wir das vor einiger Zeit schon so geändert, dass bereits das Formular über https geladen wird, konsequenterweise sollte man das auch an dieser Stelle tun.

Was meint Ihr?

Danke für die Aufklärung, dann ist es nur eine kosmetische Sache.

Denke aber, dass es sich für den Benutzer besser anfühlt, wenn er im sichtbar “geschützten” Bereich seine vertraulichen Daten eingibt.

Grüße,
A.

Da muss ich zustimmen, den Technikern ist es klar dass einzig die die action wichtig ist - der Normal User denkt aber dass er während der Eingabe die tolle grüne (orange, blaue …) Leiste sehen muss.

Moin,

https://bugs.oxid-esales.com/view.php?id=1840

Gruß