NIKON
Tack för svaret.

Jag förstår, att just när jag loggar in här på forumet så loggar jag in med min E-post adress, och just vid det tillfället kanske någon kan "avlyssna det" och få fram min E-post adress.

Men sedan? Kan någon hacka in på LS och söka på min Pseudonym KH och få reda på min E-post adress??

Mycket intresserad av ett svar av någon som vet.

Nja, möjligheterna att "hacka sig in" nån gång senare utan att ha lyssnat på trafiken som går när du loggar in vet vi inget om. Det är någonting mycket svårare det.
En tänkbar möjlighet vore kanske om man lyckas avlyssna trafiken som går när någon som jobbar på LS loggar in på webservern med administratörsrättigheter, enligt samma metod som jag beskriver lite längre ner. Då kan man kanske skaffa sig tillgång till hela användarregistret
Men detta är mest gissningar om en tänkbar approach för att komma åt LS register, eftersom jag givetvis inte vet någonting om hur LS hanterar administratörsinloggningar, och vilken information administratörer har tillgång till när de loggat in.
Det kan lika gärna vara så att LS hanterar administratörsinloggningar via en helt annan mycket säkrare krypterad kanal, och då faller denna approach. (Till LS: Men om ni inte gör det, så kan det kanske vara något att åtgärda... Även om en hackerattack från någon amatör vore både mycket svår och osannolik att genomföra så kan det hända att FRA lyssnar, och ert kundregister behöver ju inte hamna i SÄPOs eller FRAs databas i onödan.. Även om världen är en snäll och trevlig plats nu, så kanske den inte är det när/om systemet kollapsar.)


Vad vi precis kom fram till i den här tråden var väl just att LS websida är lite svag när det gäller skydd mot inspelningsattacker. Det vill säga att någon lyssnar på trafiken som går precis när du loggar in.
Det ser ut som att man genom att lyssna på den trafik som går just då får all information som tekniskt sett behövs för att kunna logga in på ditt konto, om man vet vad man sysslar med. (Men man ser INTE ditt riktiga lösenord)

Och kan man logga in på ditt konto så har man givetvis tillgång till precis samma information som du har tillgång till när du loggat in. (Namn, adress, köp/sälj-ordrar, osv.)

Men mail från LS om din order och mail om orderstatus skickas ju ut med allehanda uppgifter - vad jag vet så är de inte skyddade mer än alla andra mail.
Folk kan alltså sniffa mail-trafik och läsa dem. De kans se att du är en kul typ med metaller och vi är tillbaka på förvaringen av mynt där någon konstaterade att med hot kan de få dig till att visa ditt gömställe.

Vad gäller inloggning med e-mail som man loggar in med är ju ofta densamma som i andra sammanhang - koppla ihop dessa och du får en "bild" på vilken personen är, kanske då ta reda på vart han/hon bor (här och i andra sammanhang). De som är här på sidan har väl i stort sett de flesta metaller (och vi skriver ju att vi har). Så varför ens logga in med e-mail och inte användarnamnet?


// SIMM

När det gäller E-post använder samtliga e-handelsbolag samma lösning som oss inklusive våra svenska konkurrenter och utländska aktörer. Har ni förslag på hur detta kan bli säkrare så tar vi gärna emot dessa.

När det gäller att hacka sig in på LS så finns det många åtgärder mot detta. Ja, admin är separerad och kör på en säkrare och hemlig kanal. Sedan har exempelvis servern inget SSH-interface så att hacka sig in för att få tag på kunddatabasen etc på distans är således omöjligt.

Det är lönlöst att försöka ordna så att din e-mail förblir hemlig. Internet är inte byggt för att fungera så.
Om du ser det som ett problem så kan du enkelt lösa det genom att använda en anonym e-mail på LS.

Mailen med orderstatus är helt okrypterade, ja.
Kan ju också vara något som är värt att ändra på.

Har svårt att vi hur detta skulle gå till. Använda PGP? Finns det något exempel på orderstatus/orderbekräftelse mail som är krypterat? Finns det så är vi intresserade att titta på deras lösning.

PGP är alltid trevligt. Men tyvärr klarar få av att använda det.
En annan variant är att göra det möjligt att stänga av dom mailen via websidan.
Eller att mailen säger att "nånting" har hänt med din order, logga in på websidan för att få veta mer.

Håller med, man kan inte få gemene man att börja använda PGP. Men att bara få ett mail att något hänt med ens order och att data fanns tillgängligt först när man loggat in vore ju inte fel.

// SIMM

"Orderuppdateringarna" innehåller redan idag ingen speciellt känslig information.
Det är väl egentligen bara "Orderbekräftelsen" via email som innehåller både leveransadress och detaljer om beställningen.

Man skulle kunna göra något så enkelt som att kunna välja bort att få en orderbekräftelse via E-mail med en liten enkel kryssruta på websidan där man gör beställningen..