Fagersta-posten failar med lösenordshantering

av Alexander Lindeskär

Upptäckte nyss att lokaltidningen Fagersta-Posten i min gamla hemort har gjort en uppdatering av sin hemsida. Men inte bara det, utan även en ”social-mötesplats”, om jag får kalla det så, där man skapar ett konto och kan ha en egen sida, blogg och kommentera på artiklar.

Jag gjorde ett konto och gick till min sida för att titta över inställningar för profilen. Då upptäckte jag att sidan måste vara byggd av riktiga klåpare.

Rutan där man byter lösenord var redan ifylld, självklart med de vanliga ”hemliga bollarna” (●), som brukar användas till lösenord. Det var grejen att rutorna redan var ifyllda, som fick mig att reagera.

Efter en titt i källkoden visas även att lösenordet ligger helt i klartext som value till rutan i koden. Det enda som skyddar är alltså att input-rutan är satt till type=”password”.

<label for=”userPassword”>Lösenord</label>
<input type=”password” name=”userPassword” value=”hejlösenord” />

Inte alls så bra va? Till råga på det är sidan inte ens krypterad, utan FP skickar glatt ut lösenord i klartext över nätet.

Det är väl inget stort problem, man måste ju ändå vara inloggad? Jovisst, men nätverk, både trådlösa och trådbinda närverk kan avlyssnas. Och eftersom de har en ”Kom ihåg mig”-funktion som alltid håller dig inloggad kan vem som helst få ditt lösenord genom att låna din dator och kolla källkoden.

Vad jag vet använder många samma lösenord till flera tjänster. Att bli av med sitt konto på FP:s hemsida gör kanske inte mycket, men om man har samma lösenord till Facebook, Twitter eller t.om. sin epost får det iallafall mig att bli lite rädd.

Nu har jag klickat på ”Glömt lösenord” och väntar på svaret på frågan; ”Skickar de lösenordet i klartext via epost också?”. Jag återkommer.

Innan jag hann korrekturläsa ovanstående kom mailet, och svaret på frågan är ja; de skickar lösenordet i klartext även via epost.

Hej! Här kommer ditt lösenord till fagersta-posten.se. Som medlem kan du skapa din egen sida, delta i debatter och kommentera artiklar. Ditt lösenord är: hejlösenord

Det här är fan inte okej! Nu ska jag leta på en epostadress till någon ansvarig.

  • Pusha
  • Facebook
  • Instapaper
  • Tumblr
  • Google Bookmarks
  • MySpace
  • Share/Bookmark