Sikkerhedsbrist OpenSSL

Klubmodul er ikke berørt!

Et nyopdaget sikkerhedshul i krypteringsprotokollen openSSL er opdaget. Det kan blandt andet udnyttes til at opfange krypteret kommunikation mellem brugere og hjemmesider.

Er vi brugere (både medlemmer og administratorer) berørt af dette?

Nej! Det er det korte svar. Klubmodul anvender ikke openSSL til at kryptere med, faktisk så er det kun password i klubmodul der er krypteret. Vi anvender en særlig metode der går under betegnelsen “hashed and salted” til at kryptere alle passwords. Det er blandt andet derfor at man som bruger ikke får sit gamle password tilsendt når man har glemt, men derimod får et nyt. Det er også derfor, at administratorer af klubmodul ikke kan se andre brugeres password. Klubmodul er derfor ikke berørt af dette sikkerhedshul.

Password, skift det ofte

Når nu vi alligevel taler om dette sikkerhedsbrist er det en god anledning til at skifte sine passwords. Ikke kun på klubmodul, men alle de steder man kommer med passwords. En af de bedste sikkerhedsforanstaltninger er jo at skifte sine passwords ofte.

Quickpay, hvad med det?

“Sikkerhedshullet giver hackere mulighed for at lytte med på krypteret kommunikation, stjæle data direkte fra både web-tjenester og brugere og imitere både tjenester og brugere,« forklarer sikkerhedsfolkene. Et eksempel kan være, at man kan opsnappe kreditkortinformationer, der bliver transmitteret fra bruger til web-butik via HTTPS” Lad også dette være en anledning til at skifte password på quickpay. Skulle der komme hackere på besøg i jeres quickpay kan de ikke lave så meget ballade heldigvis. Der kan refunderes penge, men kun tilbage de medlemmer der har betalt. NETS forretningsnummer kan byttes, men det er ikke en god ide, for det forretningsnummer er noget af det nemmeste at spore.

Hvis man ønsker at læse mere om de metoder Klubmodul anvender til at kryptere passwords er der mere info at finde her og her. På disse link her er der mere info om det sikkerhedsbrist der er opstået på OpenSSL

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s