<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I didn't look any further into the matter after the http stuff. I don't plan to give them my CC. I don't trust any mom&pop web site with my CC data. I prefer to see stripe or PayPal. Thanks for the additional information.<br><div apple-content-edited="true">
<div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">--</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Stephen Haywood<br>Owner, ASG Consulting<br>CISSP, GSEC, OSCP<br>423.305.3700<br><a href="mailto:stephen@averagesecurityguy.info">stephen@averagesecurityguy.info</a><br><br><br><br></div>
</div>
<br><div><div>On Aug 13, 2013, at 3:09 PM, Mike Harrison <<a href="mailto:cluon@geeklabs.com">cluon@geeklabs.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">On Tue, 13 Aug 2013, Stephen Haywood wrote:<br><blockquote type="cite">If any of you folks have contacts at the Chattanooga Technology Council you may want to let them know about a problem with their "join" page. Credit card forms should only be used on HTTPS pages.<br></blockquote><br>Stephen,<br><br>I see it as: <a href="https://www.chattanoogatechnologycouncil.org/join/">https://www.chattanoogatechnologycouncil.org/join/</a><br><br>Which is HTTPS<br><br>But I get warnings: "Connection Partially Encrypted"<br>The real issue is:<br><br>they are using "gravity forms" to collect credit card info,<br><br><a href="http://www.gravityforms.com/">http://www.gravityforms.com/</a><br><br>I'll wager the "CC Info" you supply is stored in plain text or trivially reversable encryption on the web server, and probably emailed to the Tech Council in plain text so they can see it, and enter it manually in someplace else. There is a small chance they are using Gravity Forms + Stripe  http://wordpress.org/plugins/gravity-forms-stripe/ properly configured,<br><br>I know you are only an "Average Security Guy", but do you really want to<br>put that info into a Wordpress site hosted on a shared server at<br>inmotionhosting.com? It looks like they have a dedicated IP<br>but their ip address range is shared by spammers, publiclaly published vulnerabilities http://myip.ms/view/ip_addresses/3636635648<br>and I'll again wager they are a shared site, not an isolated virtual machine.<br><br>Biggest crime: Not supporting a local(ish) technology company.<br>How could they possibly be the Chattanooga Technology Council,<br>located in "GigCity" and be putting their web host in Los Angeles?<br><br>--Mike--<br>_______________________________________________<br>Chugalug mailing list<br>Chugalug@chugalug.org<br>http://chugalug.org/cgi-bin/mailman/listinfo/chugalug<br></blockquote></div><br></body></html>