http of httpS?

Nee_Nee · Nee_Nee 17 mar 2017 18:39

Mijn browser (FF) gaf een alarm: het invoeren van je gebruikersnaam en wachtewoord op deze site is niet veilig.
Zou het haalbaar zijn om van http over te schakelen naar https?

amclassic-fan · amclassic-fan 17 mar 2017 20:27

Je gebruikt mag ik hopen niet overal hetzelfde wachtwoord? Dan is het ergste dat kan gebeuren dat iemand een hoop moeite doet om je fietsforum wachtwoord te achterhalen

Wie weet als er weer eens een nieuwe site komt.

monsieurpinot · monsieurpinot 19 mar 2017 13:09

er zijn naast het versleuteld verzenden van je wachtwoord nog wel wat andere voordelen van https, o.a. vindbaarheid in google https://plus.google.com/+GoogleWebmaste ... DUi5pCNuLZ

Nee_Nee · Nee_Nee 19 mar 2017 13:48

HTTPS gaat over verkeer. Een website gaat over HTML. Er is enig verband tussen de twee. Je verkeer versleutelen en een certificaat installeren, betekent niet dat je je hele website hoeft te vervangen.

In het kader van "het ergste wat jou kan overkomen is": website fiets.nl gehackt, website defaced en gebruikersgegevens van abonnees op straat terecht gekomen.

Edwin 19 mar 2017 13:55

We gaan binnenkort over op https

NicoNB · NicoNB 19 mar 2017 14:47

Https gaat alleen maar over het versleutelen van het dataverkeer tussen de server (De website) en de ontvanger, jouw computer of mobiel device.
Het hacken van een website is een heel ander ding en heeft niets te maken met het wel of niet versleutelen van het dataverkeer.
Voor het hacken van de applicatie (het forum of website) biedt https geen enkele extra veiligheid.

Een simpel certificaat kost een paar Euro per jaar, installatie is redelijk simpel en afhankelijk van de beheer omgeving binnen één minuut tot een kwartier geregeld.

alien · alien 20 mar 2017 10:09

amclassic-fan schreef:Je gebruikt mag ik hopen niet overal hetzelfde wachtwoord? Dan is het ergste dat kan gebeuren dat iemand een hoop moeite doet om je fietsforum wachtwoord te achterhalen

Nee, en dat is een ronduit dom antwoord.

amclassic-fan · amclassic-fan 20 mar 2017 10:35

Als je dat zo wilt stellen, dan verwacht ik ook een onderbouwing. Overigens kom ik regelmatig op professioneel vlak in aanraking met zaken als SSL certificaten, dus ik heb volgens mij wel een idee waar ik het over heb.

alien · alien 20 mar 2017 12:14

Als je toegang tot iemands account hebt, kun je ook bij z'n PM's. Er is hier een vraag- en aanbodforum. Staat vast wel ergens een uitwisseling tussen in de trant van, "ik verkoop [X] omdat ik net een nieuwe carbonfiets van achtduizend euro gekocht heb. Wil het komen ophalen? Mijn adres is Joop Zoetemelkstraat 1 in Malaucène. Maar volgende week kun je niet langskomen, want dan ben ik met vakantie."

Anders gezegd: "het ergste dat kan gebeuren" is niet alleen dat iemand een hoop moeite doet om niks meer dan het forumwachtwoord te vinden.

JA, jouw antwoord was ronduit dom. En dat je daar uitleg bij nodig hebt, zegt me vooral dat je wellicht het één en ander weet van de technische kant van het verhaal, maar weinig snapt van de implicaties die zulke gedachten hebben. Beveilig je site. Kleine moeite, mogelijke gevolgen kunnen behoorlijk groot zijn.

amclassic-fan · amclassic-fan 20 mar 2017 12:29

En dan kom je zoals ik al vermoede inderdaad op de schijnveiligheid van een 'slotje' in de browser. Het is namelijk niet bepaald zo dat Jan en Alleman het wachtwoord kan achterhalen omdat het via HTTP verstuurd wordt. Gezien de versie van PHPBB waar het forum opdraait zijn er wel grotere risico's.

Dat HTTPS wenselijk is voor het inloggen ben ik het mee eens, maar in het grotere geheel valt het risico in deze wel mee.

Nee_Nee · Nee_Nee 20 mar 2017 17:23

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group

De laatste update forumsoftware stamt toch uit 2017 hoop ik? Als het echt 2007 is, dan is SSL een van je kleinere vraagstukken.

marcels · marcels 08 mei 2017 11:31

NicoNB schreef: Voor het hacken van de applicatie (het forum of website) biedt https geen enkele extra veiligheid.

Als developer die dagelijks bezig is met security doet deze opmerking gewoon pijn