Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2874 views
  • Users 0 members are here
Options
Suggested

[8.920][MYTH] Hotspot password sent in clear text

wingman
Hi All

The hotspot password is transmitted in clear text which is not a good idea. All logons should use SSL

POST /?action=login HTTP/1.1
accept=true&token=iwojeret62&login=Login&location=http%3A%2F%2Fwww.apple.com%2FHTTP/1.1 302 Found



Thanks
Parents
  • 0
    Apologies guys but I am not sure how this can work on the following scenario

    1)I have allowed 10 devices per voucher on my UTM.
    2)I have 2 users which one of them has a voucher for 20 minutes and the other one has a voucher for 2 days. 

    First  user -let's call it Bob (using voucher for 20 minutes)- is able to sniff the network and see the passwords in clear text(therefore seeing the password of the other user as well).

    He then uses that password (which is for the voucher created for 20 days) to login with another device (as we have allowed 10 devices per voucher)

    Isn't that possible?

    Thanks
  • 0 in reply to wingman
    Yes, it is. Even without having any voucher at all, Bob could do an ARP spoofing attack to use the Internet. I don't know of a way how to solve that problem when having an unencrypted WiFi.
Reply Children
No Data
Unfiltered HTML