Ny HW-butikk i Norge: Dustin

[Mortis360]

Da har jeg plassert enda en ordere hos DustinHome, det ble en Samsung SyncMaster 2343BW denne gangen.

Da har jeg endelig ett dualscreen oppsett! :!:

 

~ Mortis

[aGal]

Da har jeg plassert enda en ordere hos DustinHome, det ble en Samsung SyncMaster 2343BW denne gangen.

Da har jeg endelig ett dualscreen oppsett! :!:

 

~ Mortis

 

Ble skjerm og tegneplate på meg fra Dustin i dag, litt lei en skjerm på to maskiner!

[lain]

Eneste jeg har å klage på med nettbutikken til dustin, er at varer som står som de er på lager, grønt ikon osv, kommer det opp melding på når du prøver å betale for dem, med at varen er ikke på lager.

 

Veldig irriterende, og gjør at jeg nå vurderer å kjøpe de delene et annet sted, da det er viktig for meg å få dem i løpet av uken.

 

Edit. Verre er det at det ser ut til å ikke være mulig å avbryte orderen etter denne meldingen kommer opp. Så nå ligger det inne en ordre på ting som ikke er på lager. Meh..

Endret 6. april 2010 av lain

[NgZ]

Som man kan lese i denne tråden gjør Dustin en svært grov feil som kan få alvrolige følger for din brukerkonto både der og andre steder.

Dersom du trykker på "Glemt passord"-linken, sender de deg passordet du har tastet inn i en epost, i klartekst.

 

Dette betyr to ting.

1: Passordet kan hentes ut fra databasen deres i klartekst. Dette er i seg selv svært alvorlig, fordi utro tjenere eller et vellykket angrep betyr at de får passordet ditt.

2: De sender det i klartekt på epost. For å sitere en god gammel regel: Det du ikke ville sendt på et postkort, sender du ikke i en epost. Det er mange som har mulighet til å lese eposten din på veien.

 

De fleste har fått med seg at man skal ha forskejllige passord overalt, men mange har ikke det. Siden epostadressen din (som er tilgjengelig sammen med passordet) ofte er brukernavnet ditt ulike steder, har en som får fingrene sine i eposten eller databasen det de trenger for å ta over de andre kontoene du har rundt omkring.

 

I tillegg er det mange som HAR forskjellige passord rundt omkring, men som bruker variasjoner av samme passord (For at det skal være mulig å huske et stort antall forskejllige er man nesten nødt til det). Dette sikrer dem mot at noen som har bruteforcet passordet deres et sted ikke kan logge seg inn et annet sted. Men når man ser passordet i klartekst er det overraskende ofte mulig å gjette seg frem til hva som er variasjonen, og hva som er hovedpassordet. Dermed er det fortsatt fritt frem.

 

Jeg oppfordrer alle til å sende mail til både [email protected] og Henrik og fortelle dem akkurat hva man synes om dette. Selv skal jeg si klart i fra at jeg vil be dem slette kontoen min og slutte å handle der dersom de ikke fikser dette raskt. (Men det får vente til i morgen, skal ikke prøve å skrive noen saklig epost nå. )

 

Det er ufattelig trist at Dustin presterer å gjøre en så utilgivelig bommert. Noen synes kanskje jeg overdriver, men de som har studert eller selvlært seg selv innenfor noe som er delvis relevant vet at dette er en særdeles stygg feil, som det er "barnelærdom" at man ALDRI begår!

 

Kan dermed sitere nomore fra tråden jeg linket til i starten:

- Grunnleggende sikkerhetsrutiner tilsier at passord ALDRI skal lagres i klartekst. Om utviklerene bak systemet ikke har fått med seg dette så er det lov å spørre om hva annet de ikke har fått med seg.

- Sikkerheten rundt e-post må anses å være på linje med postkort. Det du ikke vil skrive på et postkort og sende bør du heller ikke sende i en e-post. Her sendes passord på e-post.

- Enhver middels oppegående utvikler klarer å knote i sammen en funksjon/rutine i systemet som gjør at man ikke trenger å sende passord i klartekst. Eg stiller da spørsmålstegn til enten kunnskapen til personene bak eller hva annet er nedprioritert?

- Sikkerheten på produksjonsdatabasen er nok relativt høy, men det hjelper lite dersom backupen ikke blir behandlet som like sensitiv(siden alle passordene er lagret i klartekst).

- Utelukkende ALLE språk har i dag en enkel løsning for å hashe/kryptere et passord. Når sikkerheten økes såpass dramatisk bare ved å gjøre dette, hvor er fokuset til utviklerene egentlig?

 

Så får man bare håpe at Dustin legger seg flate og retter dette opp umiddelbart, for hvis de faktisk prøver å ufarliggjøre dette, ja da blir jeg virkelig bekymret.

 

I rettferdighetens navn: De er langt fra de eneste som gjør dette (det ser man ogå i tråden jeg linker til.) Det er likevel fullstendig utilgivelig.

[Theo343]

At et passord sendes i klartekst betyr ikke at det er lagret i klartekst.

[Ståle]

Det betyr ihvertfall at det kan dekrypteres, og er et stort sikkerhetsbrudd allikevell.

[bIsk0p]

Jeg er enig i at måten passordet er lagret på (om det er kryptert eller ikke) er feil. Benytter man seg av 'Glemt passord' burde man få et nytt generert passord som har en begrenset varighet..

 

For min del betyr ikke dette særlig mye da passordet hos Dustin ikke er likt som hos noen andre eller at min konto kan missbrukes i noe stor grad.. Men jeg er enig i at det burde rettes opp i.

[Mathias-S]

Det at passordet kan hentes ut igjen betyr at det er mer eller mindre like dårlig sikret som om det hadde vært lagret i klartekst. I et vellykket angrep mot Dustin vil man også få tak i dekrypteringsalgoritmen som eventuelt brukes, og da er jo passordene i praksis blitt lagret i klartekst. På samme måte kan ansatte med uedle hensikter hente ut passordet på samme måte som om det hadde blitt lagret i klartekst. Dermed er det irrelevant hvordan passordene har blitt lagret - klartekst eller ei, hele passorddatabasen er usikker.

 

Som noen ovenfor nevnte, er dette grunnleggende "barnelærdom" som enhver webutvikler bør vite. Passord skal aldri kunne dekrypteres, men alltid hashes i en irreversibel prosess. Når man da bruker "glemt passord"-funksjonen, så skal det genereres et nytt (eller brukeren skal få mulighet for å lage et nytt selv).

Endret 7. april 2010 av Mathias-S

[Theo343]

Det var bare ikke irrelevant hvordan det ble sagt/skrevet.

[voidDraw()]

Hei DH.no!

Kommer dere til å kjøre kampanje med spill slik dere gjorde på en del forskjellig HW?

Tenker på da dere hadd GPU + spill, CPU + spill m.m.

Noe ala Dirt 2 pakka med Intel Core 2 Duo Q8400 perhaps? Dessverre har jeg ikke fått pæng inn på konto så har ikke fått bestilt enda.

Og et siste spørsmål, stopper lastebilen dere kjører fra Sverige en tur innom postsentralen i Sarp eller går den direkte til Oslo?

Sparer jo en dag på det nesten

[Panter]

Nå er ikke Sarpsborg på strekningen Stockholm til Oslo da, regner med de tar korteste veien.

Endret 7. april 2010 av Panter

[bIsk0p]

Det er nok en bil som kjører direkte til Oslo, hvor pakkene igjen blir fordelt.

[Theo343]

Ingen kjører melkeruta, trodde det var opplagt

[asicman]

Jeg sendte et spørsmål om Dustin Home leverer varer etterhvert som de ankommer eller om de samler opp alt før de sender ut. Jeg fikk svar på e-post umiddelbart at de samler opp alt, men man kan gi beskjed hvis man vil ha separate utsendelser. Jeg spør også om man kan avbestille varer som ikke har blitt sendt kostnadsfritt. Jeg får til svar at de kan man. Poeng til Dustin for raskt svar.

 

Deretter så legger jeg inn en bestilling på en vare som ikke er på lager, men jeg vil gjerne ha den så raskt som mulig når den kommer på markedet. Siden jeg ikke har lyst til å betale på forhånd for en vare som kan ta lang tid velger jeg faktura siden jeg regner med at den blir sendt samtidig med varen. Jeg må oppgi personnummer (over SSL).

 

Men i bestillingen står det at faktura vil bli sendt. Er det slik at de sender faktura før varen kommer? Hva om produsenten ikke kan levere eller det tar så lang tid at man avbestiller?

 

Jeg fikk også link til side hvor gjenpartsbrevet med kredittopplysningen er. Først får man en e-post med login, deretter en e-post med passord (alt i klartekst). Utrolig synd at myndighetene ikke kan godkjenne og oppbevare PGP nøkler slik at kryptering og signering av e-post ville være en vanlig sak i dag. Du kan banne på at den dagen de kommer opp med en slik løsning er den Microsoft proprietær og bare virker i IE eller OE osv.

[asicman]

En ting til... I gjenpartsbrevet står det at firmaet heter stayhard.no Klarna, høres ut som et useriøst viagrafirma e.l.

[voidDraw()]

Daså. Sarpsborg er jo strengt tatt ikke langt fra E6, så hadde jo vært fint for oss i Sør Øst Norge å få pakkene tidligere

[Panter]

Igjen, varene kommer fra Stockholm, altså E18.

[DustinHome.no]

Heisann,

 

Angående passordene, så vet jeg at webmaster for hele Dustin jobber med den saken nå, og skal få på plass en kryptering av dette.

 

Postbilen går direkte til Postens Godssenter Oslo, om vi skulle stoppet på veien og sluppet av pakker tror jeg Toll- og Avgiftsdirektoratet hadde hørt av seg til oss veldig kjapt . Men, liker prinsippet!

 

Lenovo T410i finnes i svensk versjon, vi skal nok klare å trylle frem en norsk etter hvert. Stay tuned!

 

Deltaco-varen burde finnes oppe ganske snart.

 

Angående faktura: Klarna jobber med veldig mange firmaer i Norge (og Sverige), som kredittgiver på delbetaling og faktura, derfor kan de kobles sammen med en del andre nettbutikker også. Faktura sendes aldri før pakken er sendt!

 

Avslutningsvis: Vi har fått inn 70 stk Asus UL30VT!

 

Mvh

Henrik Breivik

[asicman]

Faktura sendes aldri før pakken er sendt!

 

Nok en pluss i margen for Dustin Home. Takk for svar.

[Flimzes]

Daså. Sarpsborg er jo strengt tatt ikke langt fra E6, så hadde jo vært fint for oss i Sør Øst Norge å få pakkene tidligere

På tide å hente et atlas?