„Zachęcony” lekturą podlinkowanego artykułu zarejestrowałem się na stronie arena.myfide.net za pomocą jednego z najłatwiejszych do złamania haseł (konto próbne, do usunięcia). Wkrótce po tym otrzymałem drogą mailową informację o utworzeniu konta, wraz z powitaniem mnie, w którym jako nazwy użyto właśnie mojego hasła (zamiast imienia albo nazwiska).
Czyli faktycznie, hasła są przechowywane na serwerze w sposób jawny, niezaszyfrowany, a to umożliwia ich podglądnięcie przez osoby trzecie.
Oczywiście nie zamierzam przesyłać do FIDE skanu mojego paszportu czy dowodu osobistego, bo nie mam gwarancji że te dane nie zostaną łatwo ściągnięte z ich serwera (albo podglądnięte w trakcie przesyłania). Jest to zresztą bardzo prawdopodobne, skoro programiści z FIDE nie zadbali o zastosowanie szyfrowanego protokołu https, standardowo wykorzystywanego do przesyłania poufnych informacji. Oj, ktoś spał na wykładach z podstaw bezpieczeństwa internetowego.
Pisalem juz o tym kiedys – FIDE kompletnie nie dba o zabezpieczenia swojej strony. To z tego wzgledu ta strona jest tak czesto niedostepna i to wlasnie dlatego jestem PRZECIWKO gromadzeniu danych typu adres email czy adres zamieszkania. DR. Filipowicz teg nie rozumie, co widac po liscie, ktory zostal zamieszczony kiedys na tej stronie. DANE OSOBOWE NIE SA BEZPIECZNE W REKACH FIDE, ale moze trzeba byc (jak ja) informatykiem z wyksztalcenia, zeby zrozumiec zagrozenie. Ludzie z FIDE kompletnie nie zdaja sobie z niego sprawy!
Rejestracja nowego użytkownika na stronie jest przeprowadzana bez użycia protokołu https co niestety jest bardzo dużym zaniedbaniem ze strony administratora. Potem sam proces logowania na stronie jest już poprawny i wykorzystany jest tutaj https. List z danymi konta dotarł do mnie poprawnie lecz wolałbym żeby nie było tam danych do logowania zapisanych w sposób jawny, lepszy tutaj byłby np link na który bym kliknął i potwierdził założenie konta na serwerze. Czy dane na serwerze są przechowywane w sposób jawny tak naprawdę trudno powiedzieć. Raczej chyba nie.
Może skany dokumentów tożsamości są szyfrowane, tego nie wiadomo. Ale hasła nie są chronione. Hasła nigdy nie powinny być przesyłane w jawnej postaci w mailach (w ten sposób każdy admin serwera pocztowego, czy zastępujący go student na stażu, może dobrać się do takich kont czytając hasła z Twoich maili). Hasła powinny być szyfrowane i jedyne co mógłby otrzymać odbiorca maila, to link do zresetowania hasła.
Podsumowując proces rejestracji jest źle przygotowany i powinien być jak najszybciej dostosowany do znanych standardów bezpieczeństwa.