Publiceret: 5. oktober 2003 (http://smolf.dk/dht, http://netadmins.dk/stuff/dht)
Sidst revideret: 5. november 2003
Status: Fejlen er stadigvæk ikke rettet (oplysninger om hvornår fejlen er/bliver rettet, vil blive værdsat)
DHT, som er en dansk web-hotel udbyder, benytter følgende slogan: DHT Hosting, fuld kontrol og sikkerhed i top. Dette er dog ikke helt korrekt, idet ens brugernavn og adgangskode er tilgængelig i ren tekst, hvis man benytter deres AdminWeb til at administrere ens mail kontis.
Når man logger ind i DHT's AdminWeb, foregår det over en såkaldt sikker forbindelse (HTTPS, Secure Hypertekst Transfer Protocol, som er en krypteret variant af HTTP, der benyttes til at transportere data på internettet via SSL), hvilket jo er fremragende. Problemet opstår derimod når man vil administrere ens mail kontis hos DHT. Dette foregår via PostManager, og sjovt nok bliver dette ikke sendt over en sikker forbindelse, men derimod over almindelig HTTP. Grunden hertil er mig ukendt.
Det viser sig at PostManageren kører på en anden server end AdminWeb.
admin.dht.dk. 5934 IN A 195.41.82.34 manager.dht.dk. 5931 IN A 194.239.148.61
Ens brugernavn og adgangskode bliver overført via URL'en. Dette gør, at man i Internet Explorers midlertidige filer kan finde ens brugernavn samt adgangskode i ren tekst (Note: Det gør sig også gældende for andre browsere end Internet Explorer som fx Mozilla). I de midlertidige filer kan man altså finde URL'er, som indeholder ens brugernavn og adgangskode foruden det pågældende domænenavn. Disse URL'er ser således ud:
http://manager.dht.dk/login.php3?loginc=brugernavn&dom=domæne&sessionid=id&pass=adgangskode
Det anbefales derfor, at man sletter alt offline-indhold, cookies og adresselinie historikken efter endt brug af AdminWeb. Dette gør sig især gældende, hvis det er nødvendigt at tilgå AdminWeb fra offentlige tilgængelige pc'er.
Hvis man benytter en proxy-server, skal man yderligere være opmærksom på, at denne givetvis kan logge hvilke URL'er man requester. Herved kan folk med adgang til proxyens logfiler se ens brugernavn og password, da disse fremgår af URL'erne, hvilket jo ikke er særlig hensigtsmæssigt.