Onvoldoende getest

Zit je met opmerkingen en een paar vragen over dommel / schedom? Post ze dan hier maar.
Plaats reactie
Gebruikersavatar
Marauder
Member
Member
Berichten: 93
Lid geworden op: 11 jun 2007, 22:04

Ik ben nu 4 dagen lid bij Dommel en al te maken gehad met twee bugs in het Dommel-systeem.

1e bug:
Net na mijn inschrijving kreeg ik de email met het contract niet waarvan sprake was. Na gebeld te hebben bleek dit een uur na de inschrijving aan te komen maar die boodschap moesten ze (de programmeurs) nog toevoegen aan de schermen. Enfin, nadat ik 6 uur later nog steeds niets ontvangen had belde ik nog eens en bleek er iets niet te kloppen.
Uiteindelijk lag het probleem bij mijn straatnaam die ik opgaf. Daar kwam een accent (') in voor waardoor dat programma flipte en mij de email niet wou sturen. Nu staat mijn straatnaam er zonder accent.

2e bug:
Gisteren wilde ik inloggen maar na 20 x tevergeefs geprobeerd te hebben mailde ik naar de helpdesk. Ik kreeg het bericht terug dat het hen wel lukte om met mijn paswoord in te loggen (persoonlijk vind ik het niet secure dat men zomaar je paswoord ziet maar soit). Na de mail dus gelezen te hebben probeerde ik het zelf nog eens en nog steeds lukte het niet. Misschien was de site wel FF-onvriendelijk dus even geprobeerd met IE maar nada. Uiteindelijk mijn paswoord opgevraagd met "Forgot my password?".
Een 5-tal minuten later kreeg ik mijn paswoord en wat bleek, het paswoord dat ik bij de inschrijving had opgegeven (en dat voorkomt in de emails) was lichtjes veranderd. In mijn initieel paswoord kwam een underscore (_) voor en die was in het 'nieuwe' paswoord verdwenen.
In de facturatiemails staat het correcte paswoord (clear-tekst) dat ik bij de inschrijving opgaf en in de 'I forgot my pasword'-mail staat het incorrecte veranderde paswoord, een duidelijke tegenstrijdigheid.


.... en in tussentijd is het wachten op de activatie. Nog 500 MB en ik heb mijn LaTribu/EDPNet-limiet van 15 GB overschreden. Dat wordt krap :-S
elldiablo
Pro Member
Pro Member
Berichten: 403
Lid geworden op: 13 apr 2006, 19:29
Locatie: Limburg Houthalen

wel ik hoop dat je in de toekomst geen conflicte meer meemaakt


Ik ben nu al ff klant , en ben een tevrede klant :o) ..hier en daar wat mini problemen tegen gekomen , maar kom de wereld is ook niet 100% perfect
i believe in Technology ... they can changes this world to make it easy for us .
Politic ?? they make law's when they cant solve a problem ... Now how helpfull is that ...
Xi
Pro Member
Pro Member
Berichten: 260
Lid geworden op: 10 sep 2006, 02:28

een probleem met '

oh boy. niet echt een klein probleempje, dat kan een kolos van een probleem zijn
rtificial
Starter
Starter
Berichten: 23
Lid geworden op: 22 aug 2006, 12:58

Op zich inderdaad vervelend dat zoiets simpels als een ' niet goed verwerkt wordt, nog vervelender dat je zelf ingegeven wachtwoord verkeerd geinterpreteerd wordt. Toch een wat beperkte ascii-set ofzo.

Een groter problem, wat ik ook al eens zonder reactie bij Dommel heb aangekaart, is dat mijn wachtwoord maandelijks in clear text in een e-mail verzonden wordt, in combinatie zelfs met m'n username. Dat vind ik uiterst merkwaardig.

Ook het kunnen zien van je wachtwoord door de beheerders druist in tegen iedere veiligheidspolicy. Je wachtwoord resetten, dat hoort te kunnen, maar uitlezen ben ik geen voorstander van.
Gebruikersavatar
DarthDavy
Premium Member
Premium Member
Berichten: 489
Lid geworden op: 13 apr 2007, 17:01
Locatie: Roeselare
Contacteer:

Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.

Qua veiligheid: noppes, maar jah... Ge moet ergens op inbinden om goedkoop internet te hebben zeker?
Intel Core 2 Duo E6600 - 2GB DDR2 SDRAM PC5300 - MSI P965 Platinum - GeForce 7900GTX 512MB DDR3 - Western Digital 150GB 16MB Raptor - Western Digital 250GB 16MB - Zalman Powersupply ZM-460-APS 460W - Thermaltake Soprano VB1000SWS
on4bam
Elite Poster
Elite Poster
Berichten: 4340
Lid geworden op: 05 mei 2006, 16:05
Uitgedeelde bedankjes: 249 keer
Bedankt: 331 keer

DarthDavy schreef:Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.


Nooit van SSL gerhoord? Je haalt je mail toch niet in clear text op zeker?
Ik kan met een packetsniffer alvast niets meelezen.
Bye, Maurice
https://on4bam.com
Gebruikersavatar
localhost
Elite Poster
Elite Poster
Berichten: 1315
Lid geworden op: 14 mei 2006, 17:23
Twitter: amedee
Locatie: Sint-Niklaas
Uitgedeelde bedankjes: 2 keer
Bedankt: 5 keer
Contacteer:

Xi schreef:een probleem met '

oh boy. niet echt een klein probleempje, dat kan een kolos van een probleem zijn

Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops... :lol:
Vrijheid van meningsuiting op het internet is de vrijheid om op je eigen blog zoveel onzin te verkopen als je zelf wil.
Er bestaat geen verplichting om naar de vrije meningsuiting van een ander te luisteren.
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops... :lol:


DROP DB is zoveel leuker ;)
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
localhost
Elite Poster
Elite Poster
Berichten: 1315
Lid geworden op: 14 mei 2006, 17:23
Twitter: amedee
Locatie: Sint-Niklaas
Uitgedeelde bedankjes: 2 keer
Bedankt: 5 keer
Contacteer:

devilkin schreef:
localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops... :lol:


DROP DB is zoveel leuker ;)

You get my drift...
DROP DB valt te veel op. Een database is dan gemakkelijk te restoren van backup. DROP TABLE is leuker als er veel tables zijn, en als er wel nog data geschreven wordt naar de andere tables. Begin dan maar eens een database terug te zetten, zonder gegevensverlies of zonder downtime. Muhahahahaha!!! :twisted:
Vrijheid van meningsuiting op het internet is de vrijheid om op je eigen blog zoveel onzin te verkopen als je zelf wil.
Er bestaat geen verplichting om naar de vrije meningsuiting van een ander te luisteren.
Gebruikersavatar
Marauder
Member
Member
Berichten: 93
Lid geworden op: 11 jun 2007, 22:04

on4bam schreef:
DarthDavy schreef:Jup, het is mij ook opgevallen dat Dommel heel laks met username's en paswoorden omgaat. Die komen gewoon via mail in ascii formaat binnen.


Nooit van SSL gerhoord? Je haalt je mail toch niet in clear text op zeker?
Ik kan met een packetsniffer alvast niets meelezen.


En toch blijft het insecure.
Ik heb ooit eens het email-paswoord bemachtigd van iemand, die me nota bene de les spelde dat je paswoorden om de x-aantal tijd moet veranderen. Wel guess what, na 3 jaar is dat paswoord nog steeds onveranderd. Ik kan die persoon zijn privé-leven bijhouden, zijn bestellingen bij 3Suisses....

Je hebt ook het gegeven dat door het groot aantal systemen waar mensen mee werken, ze veel paswoorden moeten onthouden. Daardoor kiezen mensen vaak voor één of twee generale paswoorden.

Dit zou betekenen dat mensen van de helpdesk ook toegang zouden hebben tot andere systemen onder jouw naam of dat mensen die in staat zijn je emails te lezen, een extra bandbreedte pakket ofzo kunnen bestellen op jouw naam....

Verder kiezen sommige mensen voor paswoorden waar een patroon in te herkennen valt. Stel dat je bijvoorbeeld het paswoord, "toegangDommel" hebt. Dan is de kans groot dat als je een hotmail-adres hebt, het paswoord "toegangYahoo" zal zijn.


Als je in passwd doet in *nix zie je ook niet wat je typt en dat heeft een goede reden.

Maar zoals DarthDavy zei: bij een lagekosten-maatschappij moeten ze op iets inbinden dus ik maak er geen punt van. Mijn opinie is gewoon dat het niet veilig is.... en dat die bugs prutswerk zijn :-)
Gebruikersavatar
zippie666
Pro Member
Pro Member
Berichten: 419
Lid geworden op: 16 apr 2005, 16:31

Nicolas Van de Casteele <[email protected]> 18:12 (0 minuten geleden)
aan [email protected]
cc [email protected]
datum 20 Jun 2007 16:12:23 -0000
onderwerp [MB User] Tech Support Question
verzonden door gmail.com


Enkele opmerkingen i.v.m. de veiligheid van uw crm-systeem:

De passwoorden staan in clear-text in de link van de popup als je op di i of andere knoppen duwt voor meer informatie bij "my packages" <=== enorm onveilig, men kan zo onze passwoorden sniffen.

De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!

voor meer info zie: http://www.userbase.be/forum/viewtopic.php?t=14701


[schedom crm TM .:. schedom crm system .:. version 1.0]


Ik hou jullie op de hoogte van reacties :wink:
crapiecorn
Elite Poster
Elite Poster
Berichten: 2149
Lid geworden op: 01 feb 2003, 11:58
Uitgedeelde bedankjes: 44 keer
Bedankt: 12 keer

localhost schreef:
devilkin schreef:
localhost schreef:Jij bent nu ook aan SQL insertion aan het denken? Wat als iemand in de 'DROP TABLE straat woont? Oops... :lol:


DROP DB is zoveel leuker ;)

You get my drift...
DROP DB valt te veel op. Een database is dan gemakkelijk te restoren van backup. DROP TABLE is leuker als er veel tables zijn, en als er wel nog data geschreven wordt naar de andere tables. Begin dan maar eens een database terug te zetten, zonder gegevensverlies of zonder downtime. Muhahahahaha!!! :twisted:

Daarom dat je per database user kan aangeven welke queries deze mag uitvoeren, drop, truncate en create zijn meestal niet aangevinkt.

Paswoorden in plaintext opslaan is idd not done.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4229
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 47 keer
Bedankt: 94 keer

crapiecorn schreef:Paswoorden in plaintext opslaan is idd not done.
Hier geen enkel probleem gehad met de bestellingsprocedure 2 weken geleden.
Alleen zijn die plain text wachtwoorden per e-mail inderdaad wel onveilig en ik ben er ook niet echt blij mee dat de Dommel medewerkers deze kunnen zien.
En ja ik haal alles op via SSL en/of webmail over SSL.

*** Ook is de SSL versie en het certificaat verouderd van crm.schedom... ***

Internet = Proximus Business Flex Fiber 1000/100 & back-up Telenet Business Fibernet 300/30 Mbps
Fixed phone = OVH VoIP Entreprise
Mobile= Destiny Mobile Unlimited + Samsung S21
TV = FTA IPTV + Netflix
Network = 100% MikroTik powered
Car = Tesla Model 3 (Team blue)
crapiecorn
Elite Poster
Elite Poster
Berichten: 2149
Lid geworden op: 01 feb 2003, 11:58
Uitgedeelde bedankjes: 44 keer
Bedankt: 12 keer

Een groter probleem is : als hun database ooit "gehacked" wordt, gelijk hierboven bv. door middel van sql injection hoef je maar een select * from users te doen en daar zijn je paswoorden.
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!


Ehm :p Hoogst informatief zou ik zo zeggen. Ik twijfel echter dat ze hiermee iets gaan nakijken hoor :)
TomG
Elite Poster
Elite Poster
Berichten: 2169
Lid geworden op: 06 jun 2005, 18:33
Locatie: Zwevegem
Uitgedeelde bedankjes: 472 keer
Bedankt: 106 keer

Die paswoorden zijn dus in cleartext in een DB opgeslagen en niet als een MD5 hash ofzo? :eek:

Wat is overigens het nut van paswoorden te bewaren in een database per gebruiker?

Het is voldoende om gekoppeld aan de account de paswoorden te encrypteren, zoals met een MD5 hash. Geraakt de klant het paswoord kwijt, geen probleem even nieuw paswoord instellen bij hun.
S|N
Plus Member
Plus Member
Berichten: 177
Lid geworden op: 10 jul 2006, 22:37

Goendi schreef:
De helpdeskers kunnen blijkbaar ook in plain text onze passwoorden zien, wat ook niet echt veilig is!

Ook blijkt er een bug te zitten in uw reservatiesysteem die kan leiden tot SQL-injections, wat echt wel gevaarlijk voor uw database kan zijn!


Ehm :p Hoogst informatief zou ik zo zeggen. Ik twijfel echter dat ze hiermee iets gaan nakijken hoor :)


Idd, Skynet medewerkers, zowel als Telenet klantendienst kunnen deze opvragen. Maar wees gerust alles wat bekeken wordt, wordt ook gelogd...
Gebruikersavatar
DarthDavy
Premium Member
Premium Member
Berichten: 489
Lid geworden op: 13 apr 2007, 17:01
Locatie: Roeselare
Contacteer:

Als er constraints op je tabel liggen zal die drop table ook niet zomaar doorgaan hoor.

Mijn punt was ook gewoon dat Dommel laks is met veiligheid, vandaar dat m'n paswoord bij Dommel gewoon hetzelfde is als zij mij gegeven hebben en dat verander ik niet. Ik moet wel gek zijn om mijn normaal gebruikte paswoorden daar te gebruiken.
Intel Core 2 Duo E6600 - 2GB DDR2 SDRAM PC5300 - MSI P965 Platinum - GeForce 7900GTX 512MB DDR3 - Western Digital 150GB 16MB Raptor - Western Digital 250GB 16MB - Zalman Powersupply ZM-460-APS 460W - Thermaltake Soprano VB1000SWS
ubremoved_983
Elite Poster
Elite Poster
Berichten: 3868
Lid geworden op: 20 maa 2004, 20:10
Uitgedeelde bedankjes: 95 keer
Bedankt: 48 keer

S|N schreef:Idd, Skynet medewerkers, zowel als Telenet klantendienst kunnen deze opvragen. Maar wees gerust alles wat bekeken wordt, wordt ook gelogd...


Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.
Gebruikersavatar
Petrikske
Elite Poster
Elite Poster
Berichten: 1371
Lid geworden op: 07 feb 2006, 13:54
Uitgedeelde bedankjes: 524 keer
Bedankt: 52 keer

ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.
ubremoved_983
Elite Poster
Elite Poster
Berichten: 3868
Lid geworden op: 20 maa 2004, 20:10
Uitgedeelde bedankjes: 95 keer
Bedankt: 48 keer

Petrikske schreef:
ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.


Dat zou mij zeer sterk verbazen. Ik heb zelf op de Telenet hel(l)pdesk gewerkt en de toepassing C@fé genaamd laat de helpdesker niet toe om het paswoord te zien. En "eigenlijk", volgens de procedures mag de helpdesker je zelf geen nieuw paswoord genereren en dien je dit zelf te doen via "paswoord vergeten" op Mijn Telenet.
Gebruikersavatar
Petrikske
Elite Poster
Elite Poster
Berichten: 1371
Lid geworden op: 07 feb 2006, 13:54
Uitgedeelde bedankjes: 524 keer
Bedankt: 52 keer

ditCh schreef:Dat zou mij zeer sterk verbazen. Ik heb zelf op de Telenet hel(l)pdesk gewerkt en de toepassing C@fé genaamd laat de helpdesker niet toe om het paswoord te zien. En "eigenlijk", volgens de procedures mag de helpdesker je zelf geen nieuw paswoord genereren en dien je dit zelf te doen via "paswoord vergeten" op Mijn Telenet.
Was in Mei 2001 en de helpdesker zei inderdaad dat em mijn internet niet mocht activeren en m'n paswoord geven.
Denk dat ik toen 1 v.d. eerste Doe-Het-Zelf's was.
Ergens iets misgelopen of zo ik weet het niet, uiteindelijk toch gekregen wat ik nodig had.
crapiecorn
Elite Poster
Elite Poster
Berichten: 2149
Lid geworden op: 01 feb 2003, 11:58
Uitgedeelde bedankjes: 44 keer
Bedankt: 12 keer

Hier moet je wel een verschil maken tussen dommel crm paswoord en dommel adsl login, deze hebben niets met elkaar te maken.
Gebruikersavatar
zippie666
Pro Member
Pro Member
Berichten: 419
Lid geworden op: 16 apr 2005, 16:31

Geachte,



In exact welk script hebt u een injection-bug kunnen vaststellen?

met vriendelijke groeten,

meilleures salutations,

best regards,



dommel.com servicecenter

a schedom nv/sa service


Mailtje terugsturen, ze hebben duidelijk niet geklikt op de link die erbij zat :/
Mr.T
Elite Poster
Elite Poster
Berichten: 835
Lid geworden op: 05 aug 2006, 18:36
Bedankt: 13 keer

Het is niet omdat het programma "flipte" op het accent, dat het daarmee kwetsbaar is voor sql injection.
Als het enkel bij de straatnaam voorkomt, heb ik al een vaag vermoeden wat het probleem gaat zijn.
Burny
Pro Member
Pro Member
Berichten: 268
Lid geworden op: 13 feb 2006, 22:18
Locatie: Zolder
Uitgedeelde bedankjes: 8 keer
Bedankt: 1 keer

Petrikske schreef:
ditCh schreef:Leugens ... op de Telenet helpdesk kan men je paswoord niet bekijken, het enige wat men daar kan doen is een paswoord genereren.

Heb anders het mijne indertijd toch gekregen na lang zagen.


Ik heb het voor een klant ooit ook kunnen regelen.. Maar mss was dat gewoon gegenereerd.
Gebruikersavatar
Raindog
Plus Member
Plus Member
Berichten: 126
Lid geworden op: 28 apr 2003, 00:34
Locatie: Belgium, Ghent

Voor zover ik weet:

Paswoord bekijken is mogelijk, maar niet door first line helpdeskers, wel door second liners.
First line kan paswoorden genereren, maar de klanten moeten wel doorverwezen worden naar de website om dit zelf te doen.

grtz
"To err is human..to really screw up you need a computer."
S|N
Plus Member
Plus Member
Berichten: 177
Lid geworden op: 10 jul 2006, 22:37

Raindog schreef:Voor zover ik weet:

Paswoord bekijken is mogelijk, maar niet door first line helpdeskers, wel door second liners.
First line kan paswoorden genereren, maar de klanten moeten wel doorverwezen worden naar de website om dit zelf te doen.

grtz


Inderdaad, voor C@fé kon de firstliner WEL degelijk alle gegevens nakijken, ook zo bij Belgacom, sinds een goed jaar is enkel genereren daar ook nog mogelijk.
Second line of Skynet zelf kan deze gegevens nog direct nakijken...

@ Ditch, iemand een leugenaar noemen is niet beleefd.
ubremoved_983
Elite Poster
Elite Poster
Berichten: 3868
Lid geworden op: 20 maa 2004, 20:10
Uitgedeelde bedankjes: 95 keer
Bedankt: 48 keer

S|N schreef:Inderdaad, voor C@fé kon de firstliner WEL degelijk alle gegevens nakijken, ook zo bij Belgacom, sinds een goed jaar is enkel genereren daar ook nog mogelijk.
Second line of Skynet zelf kan deze gegevens nog direct nakijken...

@ Ditch, iemand een leugenaar noemen is niet beleefd.


Raindog bevestigd het toch ? Helpdeskers kunnen in c@fé het paswoord NIET bekijken ... en ik heb 2 jaar geleden al bij TN gezeten en zelfs toen kon je het paswoord niet bekijken ...
ketter
Elite Poster
Elite Poster
Berichten: 907
Lid geworden op: 20 jun 2005, 16:15
Uitgedeelde bedankjes: 33 keer
Bedankt: 6 keer

S|N schreef:
@ Ditch, iemand een leugenaar noemen is niet beleefd.


:funny:
Plaats reactie

Terug naar “Dommel”