v2.1.x gambio_updater überträgt Passwort im Klartext

Thema wurde von sirtet, 16. Dezember 2014 erstellt.

  1. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.114
    Danke erhalten:
    88
    Danke vergeben:
    88
    #1 sirtet, 16. Dezember 2014
    Zuletzt bearbeitet: 16. Dezember 2014
    Sollte das nicht irgendwie unterbunden werden?
    Mindestens bei im Shop aktiviertem SSL kann der Updater doch einfach davon profitieren, oder?

    Auch wenn das Update-Script nicht oft aufgerufen wird, wenn das jemand mitliest, dann tat er das aus einem Grund...
    In den Live-Headers sehe ich z.B.
     
  2. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Wenn jemand bei Dir mitliest, hast Du eh' verloren....
     
  3. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.114
    Danke erhalten:
    88
    Danke vergeben:
    88
    Ach so, SSL brauche ich eigentlich grundsätzlich nicht? ;-)

    Nein, ist schon ein Punkt, oder sehe ich das zu eng?
     
  4. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    35.352
    Danke erhalten:
    11.198
    Danke vergeben:
    1.601
    SSl sendet die Daten verschlüsselt.
    Wenn jemand mitliest, sieht er welche Tasten Du drückst und zwar bevor Du die Daten sendest.
    Da hilft keine Verschlüsselung. :)
     
  5. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.114
    Danke erhalten:
    88
    Danke vergeben:
    88
    @barbara, mit "mitlesen" habe ich den Netzwerkverkehr gemeint.

    PS:
    Würde lieber mal eine Antwort lesen, ob das Verhalten als Problem gesehen wird. (Gambio?)
     
  6. Nonito (Gambio)

    Nonito (Gambio) Administrator

    Registriert seit:
    21. April 2011
    Beiträge:
    279
    Danke erhalten:
    134
    Danke vergeben:
    52
    Dass der Updater nicht auf HTTPS umspringt, wenn für den Shop HTTPS verfügbar ist, ist tatsächlich etwas unschön. Das bauen wir jetzt in der nächsten Version gleich mal um. Ich sehe das aber auch wie Avenger - wenn jemand mitliest, dann hat man wirklich schnell verloren. Aber zumindest mit dem SSL kann man dem Abhören der Leitung weitestgehend entgegenwirken.
     
  7. sirtet

    sirtet Erfahrener Benutzer

    Registriert seit:
    4. Juli 2012
    Beiträge:
    1.114
    Danke erhalten:
    88
    Danke vergeben:
    88