Siden jeg endelig fikk pin-kode til mitt konto, kan jeg nå logge meg inn i tnb.no, og sjekke resten av stedet.

Jeg klaget jo allerede over mangelfulle sertifikater, og har sendt en epost til 

Webredaktør Stine Lindstad, og fikk som svar idag at det er ikke hun, men Trygve Kikut som er ansvarlig for tekniske ting som dette, men han er på ferie til 17. august. Derfor har jeg ingen andre valg enn å logge meg på over en usikker forbindelse, med pin-kode og brukernavn i klartekst.

Første funksjonen son skal testes er derfor endring av pin kode. Ikke at dette hjelper noe stort, siden den alltid kommer til å bli sendt i klartekst, men det forteller oss kanskje noe mer om systemet. På profilsiden leser jeg: “Vi gjør oppmerksom på at din PIN-kode kan bli oppgitt i brev og e-post du mottar fra biblioteket, f.eks. hentemeldinger- og purrebrev. Dette gjør vi for at det skal være lettere for deg å benytte denne tjenesten”

Hva betyr dette? For å kunne sende pin-koden til meg i brev eller e-post er det nødvendig å lagre den i klartekst på server-siden. Normal standard for passord til et system som dette er å bruke en en-veis hashfunksjion (gjerne scrypt eller bcrypt), noe som betyr at det er umulig å lese passordene selv om det er noen innbrudd eller databasen blir stjålet gjennom en feil i systemet. PIN-koden kan dessuten bare inneholde tall, og må være fire sifre langt, hva betyr at selv om de hadde brukt ordentlig kryptering av passordene ville det vært trivielt å kjøre brute-force attack mot passord-databasen. Det er nesten like enkelt å kjøre det mot selveste nettsiden, og det skulle ikke ta mer en noen minutter å bryte seg inn i et konto når man vet (eller gjetter) et låner-nummer.

Så er det bruk av informasjonskapsler, eller cookies. Innloggingen har en mulighet for å forbli pålogget, noe som gjør at når en setter et kryss på det, så trenger man ikke å logge seg på igjen fra samme nettleseren. Dette blir som vanlig gjort gjennom en unik session-cookie som blir spart i nettleseren, og hver gang en side fra tnb.no blir etterspørt, sender nettleseren selveste cookie tilbake, og så vet nettstedet at det er meg. Vis noen klarer å stjele dette cookie er det lett for han å få tilgang til min konto, han trenger ikke en gang å logge seg på. Det er derfor det er vanlig at all trafikk til nettsteder med brukerkontoer (som tnb.no) skal sendes over SSL-krypterte forbindelser (HTTPS), og derfor er det så ille at sertifikatene til tnb.no ikke fungerer. Vis jeg sitter i samme rom med noen som bruker tnb.no på trådlos-nettverket, er det for eksempel meget enkelt å lese verdien av hans cookie med en verktøy som Wireshark.

Det er derfor også vanlig for et nettsted som bruker session-cookies å gi dem veldig kort levetid, dvs. de fungerer bare i noen timer, og så blir det utvekslet en ny en, i tilfelle det gamle er blitt stjålet. Levetiden på selveste cookie fra tnb.no er ett år, og da antar jeg at dette

heller ikke ble gjort ordentlig.

image
Advertisements