Jar har alltid reagerat på att Funbeat inte har https på inloggningssidan, men tänkt att i alla fall inloggningsrutan är krypterad.
Men nu i senaste versionen av Firefox (51.0.1) visas ett överkryssat hänglås i adresslisten om inloggningssidan inte använ
Likadant hos mig. Fast bara ibland. Har ingen aning om vare sig orsak eller betydelse.
Jag får hela tiden att det är fel på sidan som ska komma upp efter inloggning, "fortsätt till Funbeats startsida!"
Alltså, det är väl inte möjligt att på något meningsfullt sätt ha en "krypterad lösenordsruta" utan att använda https? Vad man än skickar blir ju läsbart för vem som helst och vem som helst och vem som helst kan kopiera det för att skaffa en egen session.
Man kan väl göra en egen kryptering i javascript och skicka det eller?
https är väl mest en fråga om att man ska kunna lita på att det är krypterat iom att man måste ha ett giltigt certifikat?!
Christer: Förvisso kan man kryptera i javascript. Men ciphertexten som skickas, alltså det krypterade lösenordet, är fortfarande fritt läsbart för alla elakingar och eftersom det är det som Funbeat behöver få för att acceptera inloggningen så kan vem som
Med kod på såväl server- som klientsidan kan man se till att det password som skickas över nätet är krypterat olika varje gång! Frågan är varför, då som sagt https redan finns. Iofs vet jag det troliga svaret: NIH (Not Invented Here) dvs programmerare gil
Jovisst, man kan ha timestamps eller liknande med i det hela. Roade mig dock med att inspektera trafiken från sidan. Lösenordet skickas i cleartext 🙂
Ok, då vet vi det - dåligt funbeat! Om inte annat så är funbeat därmed ett extra dåligt ställe att ha samma password som någon annanstans (vilket man inte ska ha ändå förstås men nästan alla har ????)
Då var inte Firefox så snett ute då, med sin varningssymbol...
Roade mig att gå till login-sidorna till ett flertal tränings-sidor, det var https på alla utom inhemska Funbeat & Jogg.se, som också resulterade i en varning från FF.
Häckade förut för läng
