Sharps.se - Sveriges bästa sportsbettingforum med rekar, spelförslag och bettingtips - Visa ett inlägg - ATG samt Svenska Spel har jättelik säkerhetsbrist

Emanresu · 2015-11-22, 18:08

Baserat på mina alldeles egna kunskaper och empiriska undersökningar så är det extremt osannolikt att någon lägger någon tid på att försöka få ut dina svenskaspel-lösenord genom en "Trojan som speglar datorn". Jag har som sagt empiriskt testat detta genom att lyssna på varenda paket som skickas mellan mig och svenskaspel när jag satte in pengar precis och det finns inte ett enda paket som du kan använda för att ta reda på informationen (åtminstone inte genom att spegla datorn). Detta är av den simpla anledningen att du inte skickar med dina siffror när du sätter in pengar, dvs. inget POST-meddelande skickas till svenskaspel.se där något om kortnummer ingår.

Dessutom är (förhoppningsvis) all information som skickas mellan oss och SS krypterat enligt SSL (vilket naturligtvis har vissa brister men inget man löser särskilt lätt genom att spegla någons dator). Detta syns genom att det är httpS://svenskaspel.se och inte som sharps dvs. https://www.sharps.se.

Om jag skulle få möjlighet att lyssna på din dators paket så skulle jag lätt som en plätt få reda på dina credentials till Sharps, men jag skulle inte kunna se ditt kortnummer på svenska spel (förutsatt att du inte lägger till ett nytt precis då och jag kan se alla knappar du trycker på).

Nedan ser du hur ett POST-meddelande till sharps ser ut och fetat ser du att inloggningen står i klartext i paketet. Eftersom jag som sagt inte kan dekryptera SSL-kryptering så kan jag inte visa hur ett motsvarande paket ser ut för svenskaspel, men jag skulle vilja beskriva det som Jibberish, och inte på något vis sammanhängande.

Att sprida rädsla genom att få det att låta som att alla kommer förlora sina pengar från SvS på grund av denna sparning av kortnummer är helt fel.

Sharps.se-inloggning:
0410 0d 0a 76 62 5f 6c 6f 67 69 6e 5f 75 73 65 72 6e ..vb_login_usern
0420 61 6d 65 3d 54 65 73 74 61 72 26 76 62 5f 6c 6f ame=Testar&vb_lo
0430 67 69 6e 5f 70 61 73 73 77 6f 72 64 3d 48 61 72 gin_password=Har
0440 61 72 6d 69 74 74 6c 6f 73 65 6e 6f 72 64 26 73 armittlosenord&s
0450 3d 26 73 65 63 75 72 69 74 79 74 6f 6b 65 6e 3d =&securitytoken=
0460 31 34 34 38 32 31 33 32 30 31 2d 30 61 37 37 33 1448213201-0a773
0470 30 33 39 62 30 66 32 65 35 32 64 34 36 36 62 66 039b0f2e52d466bf
0480 34 35 38 65 39 33 39 63 64 30 34 31 62 64 66 65 458e939cd041bdfe
0490 65 61 33 26 64 6f 3d 6c 6f 67 69 6e 26 76 62 5f ea3&do=login&vb_
04a0 6c 6f 67 69 6e 5f 6d 64 35 70 61 73 73 77 6f 72 login_md5passwor
04b0 64 3d 26 76 62 5f 6c 6f 67 69 6e 5f 6d 64 35 70 d=&vb_login_md5p
04c0 61 73 73 77 6f 72 64 5f 75 74 66 3d assword_utf=

2015-11-22, 18:08	#2
Emanresu Reg.datum: jun 2013 Inlägg: 773 Sharp$: 2869	Baserat på mina alldeles egna kunskaper och empiriska undersökningar så är det extremt osannolikt att någon lägger någon tid på att försöka få ut dina svenskaspel-lösenord genom en "Trojan som speglar datorn". Jag har som sagt empiriskt testat detta genom att lyssna på varenda paket som skickas mellan mig och svenskaspel när jag satte in pengar precis och det finns inte ett enda paket som du kan använda för att ta reda på informationen (åtminstone inte genom att spegla datorn). Detta är av den simpla anledningen att du inte skickar med dina siffror när du sätter in pengar, dvs. inget POST-meddelande skickas till svenskaspel.se där något om kortnummer ingår. Dessutom är (förhoppningsvis) all information som skickas mellan oss och SS krypterat enligt SSL (vilket naturligtvis har vissa brister men inget man löser särskilt lätt genom att spegla någons dator). Detta syns genom att det är httpS://svenskaspel.se och inte som sharps dvs. https://www.sharps.se. Om jag skulle få möjlighet att lyssna på din dators paket så skulle jag lätt som en plätt få reda på dina credentials till Sharps, men jag skulle inte kunna se ditt kortnummer på svenska spel (förutsatt att du inte lägger till ett nytt precis då och jag kan se alla knappar du trycker på). Nedan ser du hur ett POST-meddelande till sharps ser ut och fetat ser du att inloggningen står i klartext i paketet. Eftersom jag som sagt inte kan dekryptera SSL-kryptering så kan jag inte visa hur ett motsvarande paket ser ut för svenskaspel, men jag skulle vilja beskriva det som Jibberish, och inte på något vis sammanhängande. Att sprida rädsla genom att få det att låta som att alla kommer förlora sina pengar från SvS på grund av denna sparning av kortnummer är helt fel. Sharps.se-inloggning: 0410 0d 0a 76 62 5f 6c 6f 67 69 6e 5f 75 73 65 72 6e ..vb_login_usern 0420 61 6d 65 3d 54 65 73 74 61 72 26 76 62 5f 6c 6f ame=Testar&vb_lo 0430 67 69 6e 5f 70 61 73 73 77 6f 72 64 3d 48 61 72 gin_password=Har 0440 61 72 6d 69 74 74 6c 6f 73 65 6e 6f 72 64 26 73 armittlosenord&s 0450 3d 26 73 65 63 75 72 69 74 79 74 6f 6b 65 6e 3d =&securitytoken= 0460 31 34 34 38 32 31 33 32 30 31 2d 30 61 37 37 33 1448213201-0a773 0470 30 33 39 62 30 66 32 65 35 32 64 34 36 36 62 66 039b0f2e52d466bf 0480 34 35 38 65 39 33 39 63 64 30 34 31 62 64 66 65 458e939cd041bdfe 0490 65 61 33 26 64 6f 3d 6c 6f 67 69 6e 26 76 62 5f ea3&do=login&vb_ 04a0 6c 6f 67 69 6e 5f 6d 64 35 70 61 73 73 77 6f 72 login_md5passwor 04b0 64 3d 26 76 62 5f 6c 6f 67 69 6e 5f 6d 64 35 70 d=&vb_login_md5p 04c0 61 73 73 77 6f 72 64 5f 75 74 66 3d assword_utf= __________________ Twitter: @EmanresuSharp Följande användare gav Sharp$ för den här posten: