Accounts ov-chipkaart.nl volledig te kapen
Accounts ov-chipkaart.nl volledig te kapen
Accounts ov-chipkaart.nl volledig te kapen
Geplaatst op: vrijdag 21 oktober 2011 17:00
Laatst bijgewerkt: zaterdag 22 oktober 2011 01:41
Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.
Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.
Lees verder
Geplaatst op: vrijdag 21 oktober 2011 17:00
Laatst bijgewerkt: zaterdag 22 oktober 2011 01:41
Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.
Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.
Lees verder
Re: Accounts ov-chipkaart.nl volledig te kapen
En als deze 'beginnersfout' nu pas openbaar wordt, wat voor lijken zitten er dan nog meer in de TLS-kast?
En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan? De 'oude' alternatieven worden links en rechts de deur uit gedaan.
En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan? De 'oude' alternatieven worden links en rechts de deur uit gedaan.
Beul van de blindegeleidelijn
Re: Accounts ov-chipkaart.nl volledig te kapen
VIRM schreef:En als je als reiziger geen vertrouwen meer hebt in de OV-chipkaart, wat dan?
Dan heb je pech en ga je maar lopen :')
(Waarmee ik niet zeg dat ik het daar mee eens ben.)
Re: Accounts ov-chipkaart.nl volledig te kapen
Echt, ga dan op een vuilniswagen staan of zo. Als je echt ZO dom bent. :neg:Zegsvrouw Anita Hilhorst van Trans Link Systems laat in een reactie aan Webwereld weten dat de kwetsbaarheid geen bug is maar een feature. Het is een bewuste keuze. Volgens haar hadden vooral roamende gebruikers vroeger teveel last, dus worden meerdere ip-adressen toegestaan.
TLS gaat er niet vanuit dat cookies worden gestolen.
- Geert
- OVNL-bestuurslid
- Berichten: 12543
- Lid geworden op: zo 09 mar 2008, 16:43
- Locatie: Utrecht
- Contacteer:
Re: Accounts ov-chipkaart.nl volledig te kapen
Die woordvoerster heeft gewoon geen idee waar dit over gaat, dat is wel duidelijk. Maar wat TLS zegt is op zich wel redelijk: ik heb bij sommige websites inderdaad last van het feit dat je er gewoon uitgegooid wordt doordat je ip-adres telkens verandert (en dan letterlijk elke seconde een ander ip-adres). Er valt dus wel iets te zeggen voor de keuze van TLS. Overigens is dit probleem opgelost als je de website standaard alleen over SSL aan zou bieden, lijkt me niet zo moeilijk voor TLS.
En tot die tijd: niet meer in de trein surfen naar ov-chipkaart.nl ;-)
En tot die tijd: niet meer in de trein surfen naar ov-chipkaart.nl ;-)
-
- OVNL-bestuurslid
- Berichten: 8674
- Lid geworden op: zo 09 mar 2008, 16:58
- Locatie: Ede
- Contacteer:
Re: Accounts ov-chipkaart.nl volledig te kapen
Ik vind de woordvoerder wel gelijk hebben: een IP-adres koppelen aan een sessie is niet bijzonder gebruikersvriendelijk. Misschien wel iets veiliger ja. Als je je site veilig wil maken moet je sessie heel snel laten verlopen, dat doen banken bijvoorbeeld. Bij de ING ben je binnen 10 minuten weer uitgelogd. Nou is dat voor de OVC iets overdreven, maar een of twee weken is prima. En veel sites hebben dan ook een optie om dat te rekken, "Onthoudt mij".
- Geert
- OVNL-bestuurslid
- Berichten: 12543
- Lid geworden op: zo 09 mar 2008, 16:43
- Locatie: Utrecht
- Contacteer:
Re: Accounts ov-chipkaart.nl volledig te kapen
2 weken? Een uurtje is lang genoeg, je zit toch niet de hele dag op de ov-chipkaart website?
-
- OVNL-bestuurslid
- Berichten: 8674
- Lid geworden op: zo 09 mar 2008, 16:58
- Locatie: Ede
- Contacteer:
Re: Accounts ov-chipkaart.nl volledig te kapen
Ok, twee dingen, maar een iets betere tweaking van de sessies zodat die 2 uur geldig zijn, en van de "onthoudt mij" cookie dat 'ie twee weken geldig is.
- fogeltje
- Oud-beheerder OVNL
- Berichten: 6226
- Lid geworden op: zo 20 sep 2009, 14:15
- Locatie: Fogeltown
Re: Accounts ov-chipkaart.nl volledig te kapen
Ik word bij OV-chipkaart.nl juist regelmatig uitgelogd. Dan log ik even in omdat ik mijn administratie aan het bijwerken en kijk, laten ze zeggen tien minuten later, weer even in het venster en ik kan weer opnieuw inloggen. Dat vond ik tot nu een beetje ergerlijk maar net het lezen van dit verhaal eigenlijk niet meer. Daarbij doe ik dat bij internetbankieren ook niet. Ik denk dat je de sessie wel makkelijk na ene half uur kunt laten verlopen zonder dat het gebruikersonvriendelijk wordt.
"Een touringcar is geen bus"
- Geert
- OVNL-bestuurslid
- Berichten: 12543
- Lid geworden op: zo 09 mar 2008, 16:43
- Locatie: Utrecht
- Contacteer:
Re: Accounts ov-chipkaart.nl volledig te kapen
Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.
- fogeltje
- Oud-beheerder OVNL
- Berichten: 6226
- Lid geworden op: zo 20 sep 2009, 14:15
- Locatie: Fogeltown
Re: Accounts ov-chipkaart.nl volledig te kapen
Hoezo? Elke keer moet ik dat ding dan toch weer bijwerken? Ik download overigens elke maand op de 1e een PDF met alles (die vind ik overzichtelijker dan de CSV, die downloadde ik voordat de PDF optie kwam).Geert schreef:Als het echt hinderlijk is kun je ook de transacties naar een CSV-bestand exporteren (te openen in Excel of vergelijkbare software), dan heb je maar één keer de ov-chipkaart website nodig.
"Een touringcar is geen bus"
Wie is er online
Gebruikers op dit forum: Geen geregistreerde gebruikers en 66 gasten