Ich habe mich heute dazu entschlossen dem Open Web Application Security Project (OWASP) beizutreten. Zur Anmeldung, Verwaltung und Zahlung des Eintritts wird auf die Dienstleistung von cvent.com zurückgegriffen.
Wie gewöhnlich generiere ich mit Keepass für die Registrierung ein Passwort: Lang + Komplex = Sicher. Man könnte meinen, bei einer Anmeldung bei dem internationalem Projekt für Webanwendungssicherheit sei das kein Problem. Ist es aber – keine Sonderzeichen und maximal 20 Zeichen.
Dass die Webseite optisch nicht auf dem aktuellsten Stand ist, kann ich verschmerzen. Die Beschränkung der Passwortkomplexität aber nicht. Das lässt erahnen, welchen Sicherheitszustand die Anwendung dahinter besitzt.
Der Mitgliedsbeitrag kann nur mit Kreditkarte beglichen werden. Gut, kein Problem. Über das Passwort konnte ich noch schmunzeln, aber jetzt hört der Spaß auf. Der CVV meiner Kreditkarte wird nicht nur beim Eingeben angezeigt, sondern auch vom Browser gespeichert. In der Entwicklung von cvent war es anscheinend nicht nötig, die angemessenen HTML-Parameter beim Formular zu setzen. Hier hört der Spaß auf…
Die Registrierung und Zahlung bei OWASP hat, höflich ausgedrückt, noch Möglichkeiten sich an den ansonsten guten Veröffentlichungen von OWASP zu orientieren und zu verbessern…. peinlich ists trotzdem :-(.
