Pagina 1 van 1

Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: za 22 okt 2011, 01:41
door Cookie
Accounts ov-chipkaart.nl volledig te kapen
Geplaatst op: vrijdag 21 oktober 2011 17:00
Laatst bijgewerkt: zaterdag 22 oktober 2011 01:41


Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.

Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.
Lees verder

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: za 22 okt 2011, 13:11
door VIRM
En als deze 'beginnersfout' nu pas openbaar wordt, wat voor lijken zitten er dan nog meer in de TLS-kast?

En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan? De 'oude' alternatieven worden links en rechts de deur uit gedaan.

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: za 22 okt 2011, 15:22
door Aking
VIRM schreef:En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan?

Dan heb je pech en ga je maar lopen :')

(Waarmee ik niet zeg dat ik het daar mee eens ben.)

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: za 22 okt 2011, 21:57
door Fles
Zegsvrouw Anita Hilhorst van Trans Link Systems laat in een reactie aan Webwereld weten dat de kwetsbaarheid geen bug is maar een feature. Het is een bewuste keuze. Volgens haar hadden vooral roamende gebruikers vroeger teveel last, dus worden meerdere ip-adressen toegestaan.

TLS gaat er niet vanuit dat cookies worden gestolen.
Echt, ga dan op een vuilniswagen staan of zo. Als je echt ZO dom bent. :neg:

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: za 22 okt 2011, 23:35
door Geert
Die woordvoerster heeft gewoon geen idee waar dit over gaat, dat is wel duidelijk. Maar wat TLS zegt is op zich wel redelijk: ik heb bij sommige websites inderdaad last van het feit dat je er gewoon uitgegooid wordt doordat je ip-adres telkens verandert (en dan letterlijk elke seconde een ander ip-adres). Er valt dus wel iets te zeggen voor de keuze van TLS. Overigens is dit probleem opgelost als je de website standaard alleen over SSL aan zou bieden, lijkt me niet zo moeilijk voor TLS.

En tot die tijd: niet meer in de trein surfen naar ov-chipkaart.nl ;-)

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: zo 23 okt 2011, 20:58
door webguy
Ik vind de woordvoerder wel gelijk hebben: een IP-adres koppelen aan een sessie is niet bijzonder gebruikersvriendelijk. Misschien wel iets veiliger ja. Als je je site veilig wil maken moet je sessie heel snel laten verlopen, dat doen banken bijvoorbeeld. Bij de ING ben je binnen 10 minuten weer uitgelogd. Nou is dat voor de OVC iets overdreven, maar een of twee weken is prima. En veel sites hebben dan ook een optie om dat te rekken, "Onthoudt mij".

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: zo 23 okt 2011, 23:16
door Geert
2 weken? Een uurtje is lang genoeg, je zit toch niet de hele dag op de ov-chipkaart website?

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: ma 24 okt 2011, 08:49
door webguy
Ok, twee dingen, maar een iets betere tweaking van de sessies zodat die 2 uur geldig zijn, en van de "onthoudt mij" cookie dat 'ie twee weken geldig is.

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: ma 24 okt 2011, 11:44
door fogeltje
Ik word bij OV-chipkaart.nl juist regelmatig uitgelogd. Dan log ik even in omdat ik mijn administratie aan het bijwerken en kijk, laten ze zeggen tien minuten later, weer even in het venster en ik kan weer opnieuw inloggen. Dat vond ik tot nu een beetje ergerlijk maar net het lezen van dit verhaal eigenlijk niet meer. Daarbij doe ik dat bij internetbankieren ook niet. Ik denk dat je de sessie wel makkelijk na ene half uur kunt laten verlopen zonder dat het gebruikersonvriendelijk wordt.

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: ma 24 okt 2011, 13:11
door Geert
Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.

Re: Accounts ov-chipkaart.nl volledig te kapen

Geplaatst: ma 24 okt 2011, 18:11
door fogeltje
Geert schreef:Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.
Hoezo? Elke keer moet ik dat ding dan toch weer bijwerken? Ik download overigens elke maand op de 1e een PDF met alles (die vind ik overzichtelijker dan de CSV, die downloadde ik voordat de PDF optie kwam).