Accounts ov-chipkaart.nl volledig te kapen

Alles over het Openbaar Vervoer in geheel Nederland.
Plaats reactie
Gebruikersavatar
Cookie
Oud-beheerder OVNL
Berichten: 1671
Lid geworden op: zo 09 mar 2008, 17:06

Accounts ov-chipkaart.nl volledig te kapen

Bericht door Cookie »

Accounts ov-chipkaart.nl volledig te kapen
Geplaatst op: vrijdag 21 oktober 2011 17:00
Laatst bijgewerkt: zaterdag 22 oktober 2011 01:41


Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.

Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.
Lees verder
VIRM
Berichten: 7554
Lid geworden op: zo 02 mei 2010, 14:02

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door VIRM »

En als deze 'beginnersfout' nu pas openbaar wordt, wat voor lijken zitten er dan nog meer in de TLS-kast?

En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan? De 'oude' alternatieven worden links en rechts de deur uit gedaan.
Beul van de blindegeleidelijn
Aking
Berichten: 15598
Lid geworden op: do 13 mar 2008, 10:20
Locatie: --

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door Aking »

VIRM schreef:En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan?

Dan heb je pech en ga je maar lopen :')

(Waarmee ik niet zeg dat ik het daar mee eens ben.)
Fles
Berichten: 16426
Lid geworden op: wo 12 mar 2008, 21:19

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door Fles »

Zegsvrouw Anita Hilhorst van Trans Link Systems laat in een reactie aan Webwereld weten dat de kwetsbaarheid geen bug is maar een feature. Het is een bewuste keuze. Volgens haar hadden vooral roamende gebruikers vroeger teveel last, dus worden meerdere ip-adressen toegestaan.

TLS gaat er niet vanuit dat cookies worden gestolen.
Echt, ga dan op een vuilniswagen staan of zo. Als je echt ZO dom bent. :neg:
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door Geert »

Die woordvoerster heeft gewoon geen idee waar dit over gaat, dat is wel duidelijk. Maar wat TLS zegt is op zich wel redelijk: ik heb bij sommige websites inderdaad last van het feit dat je er gewoon uitgegooid wordt doordat je ip-adres telkens verandert (en dan letterlijk elke seconde een ander ip-adres). Er valt dus wel iets te zeggen voor de keuze van TLS. Overigens is dit probleem opgelost als je de website standaard alleen over SSL aan zou bieden, lijkt me niet zo moeilijk voor TLS.

En tot die tijd: niet meer in de trein surfen naar ov-chipkaart.nl ;-)
webguy
OVNL-bestuurslid
Berichten: 8674
Lid geworden op: zo 09 mar 2008, 16:58
Locatie: Ede
Contacteer:

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door webguy »

Ik vind de woordvoerder wel gelijk hebben: een IP-adres koppelen aan een sessie is niet bijzonder gebruikersvriendelijk. Misschien wel iets veiliger ja. Als je je site veilig wil maken moet je sessie heel snel laten verlopen, dat doen banken bijvoorbeeld. Bij de ING ben je binnen 10 minuten weer uitgelogd. Nou is dat voor de OVC iets overdreven, maar een of twee weken is prima. En veel sites hebben dan ook een optie om dat te rekken, "Onthoudt mij".
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door Geert »

2 weken? Een uurtje is lang genoeg, je zit toch niet de hele dag op de ov-chipkaart website?
webguy
OVNL-bestuurslid
Berichten: 8674
Lid geworden op: zo 09 mar 2008, 16:58
Locatie: Ede
Contacteer:

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door webguy »

Ok, twee dingen, maar een iets betere tweaking van de sessies zodat die 2 uur geldig zijn, en van de "onthoudt mij" cookie dat 'ie twee weken geldig is.
Gebruikersavatar
fogeltje
Oud-beheerder OVNL
Berichten: 6226
Lid geworden op: zo 20 sep 2009, 14:15
Locatie: Fogeltown

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door fogeltje »

Ik word bij OV-chipkaart.nl juist regelmatig uitgelogd. Dan log ik even in omdat ik mijn administratie aan het bijwerken en kijk, laten ze zeggen tien minuten later, weer even in het venster en ik kan weer opnieuw inloggen. Dat vond ik tot nu een beetje ergerlijk maar net het lezen van dit verhaal eigenlijk niet meer. Daarbij doe ik dat bij internetbankieren ook niet. Ik denk dat je de sessie wel makkelijk na ene half uur kunt laten verlopen zonder dat het gebruikersonvriendelijk wordt.
"Een touringcar is geen bus"
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door Geert »

Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.
Gebruikersavatar
fogeltje
Oud-beheerder OVNL
Berichten: 6226
Lid geworden op: zo 20 sep 2009, 14:15
Locatie: Fogeltown

Re: Accounts ov-chipkaart.nl volledig te kapen

Bericht door fogeltje »

Geert schreef:Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.
Hoezo? Elke keer moet ik dat ding dan toch weer bijwerken? Ik download overigens elke maand op de 1e een PDF met alles (die vind ik overzichtelijker dan de CSV, die downloadde ik voordat de PDF optie kwam).
"Een touringcar is geen bus"
Plaats reactie

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 19 gasten