[8.920][MYTH] Hotspot password sent in clear text

We can't use SSL for the login page without issuing a certificate warning. This is different to regular ASG users which may have the certificate installed.

I understand this but the password can't be in plain text.

IMHO that is not a security issue. The login code is transmitted in cleartext, yes. But it's immediately internally assigned to the MAC address of the user issuing the initial login (and only *he* knows the code in the first place because it was given to him, right?). Sniffing that login is only useful when more than a single device is allowed for that voucher, otherwise you'd have to spoof his MAC as well.

Thanks Mario

I think that spoofing MAC address is not so hard and I still believe the login credentials should NOT be plain text.  If a voucher is active for 5 days , then the attacker has a lot of time to find the MAC address of the legitimate user and uses his credentials to login to the network

I believe this is not the standard that Sophos/astaro would like to set on a Unified Threat Management (UTM) solution especially if they want to compare with bigger players out there

If this is not planned in the roadmap (please let me know) I will open a feature request for this

Thanks

If an attacker has found the MAC address of another user and spoofs it, he doesn't even need the credentials to login.

If an attacker has found the MAC address of another user and spoofs it, he doesn't even need the credentials to login.

Sent from my iPhone using Astaro.org

Sent from my iPhone using Astaro.org

Made my day. [:P]

Apologies guys but I am not sure how this can work on the following scenario

1)I have allowed 10 devices per voucher on my UTM.
2)I have 2 users which one of them has a voucher for 20 minutes and the other one has a voucher for 2 days. 

First  user -let's call it Bob (using voucher for 20 minutes)- is able to sniff the network and see the passwords in clear text(therefore seeing the password of the other user as well).

He then uses that password (which is for the voucher created for 20 days) to login with another device (as we have allowed 10 devices per voucher)

Isn't that possible?

Thanks

Yes, it is. Even without having any voucher at all, Bob could do an ARP spoofing attack to use the Internet. I don't know of a way how to solve that problem when having an unencrypted WiFi.

It's ok for me as I am using it for home usage but I can't see how this can deployed to cafe or small business for guest network etc

other products out there (untagle for example) do already have that functionality 

my 2 cents [:)]