Klachten, vragen, suggesties...doe 't hier.

http of httpS?

Nee_Nee
Forum-lid HC
Berichten: 6866
Lid geworden op: 19 dec 2013 20:23

Nee_Nee 17 mar 2017 18:39

Mijn browser (FF) gaf een alarm: het invoeren van je gebruikersnaam en wachtewoord op deze site is niet veilig.
Zou het haalbaar zijn om van http over te schakelen naar https?

Gebruikersavatar
amclassic-fan
Forum-lid HC
Berichten: 24317
Lid geworden op: 23 jun 2004 17:56
Locatie: Leende

Gebruikersavatar amclassic-fan 17 mar 2017 20:27

Je gebruikt mag ik hopen niet overal hetzelfde wachtwoord? Dan is het ergste dat kan gebeuren dat iemand een hoop moeite doet om je fietsforum wachtwoord te achterhalen :)

Wie weet als er weer eens een nieuwe site komt.
‘Whatever you do, those other fuckers are doing more.’
Afbeelding

Gebruikersavatar
monsieurpinot
Forum-lid HC
Berichten: 4423
Lid geworden op: 21 jun 2007 15:01
Locatie: Amsterdam

Gebruikersavatar monsieurpinot 19 mar 2017 13:09

er zijn naast het versleuteld verzenden van je wachtwoord nog wel wat andere voordelen van https, o.a. vindbaarheid in google https://plus.google.com/+GoogleWebmaste ... DUi5pCNuLZ

Nee_Nee
Forum-lid HC
Berichten: 6866
Lid geworden op: 19 dec 2013 20:23

Nee_Nee 19 mar 2017 13:48

HTTPS gaat over verkeer. Een website gaat over HTML. Er is enig verband tussen de twee. Je verkeer versleutelen en een certificaat installeren, betekent niet dat je je hele website hoeft te vervangen.

In het kader van "het ergste wat jou kan overkomen is": website fiets.nl gehackt, website defaced en gebruikersgegevens van abonnees op straat terecht gekomen.

Gebruikersavatar
Edwin
Admin
Berichten: 1553
Lid geworden op: 09 okt 2006 18:11

Gebruikersavatar Edwin 19 mar 2017 13:55

We gaan binnenkort over op https
Afbeelding | Afbeelding

Gebruikersavatar
NicoNB
Forum-lid
Berichten: 3294
Lid geworden op: 24 sep 2011 11:07

Gebruikersavatar NicoNB 19 mar 2017 14:47

Https gaat alleen maar over het versleutelen van het dataverkeer tussen de server (De website) en de ontvanger, jouw computer of mobiel device.
Het hacken van een website is een heel ander ding en heeft niets te maken met het wel of niet versleutelen van het dataverkeer.
Voor het hacken van de applicatie (het forum of website) biedt https geen enkele extra veiligheid.

Een simpel certificaat kost een paar Euro per jaar, installatie is redelijk simpel en afhankelijk van de beheer omgeving binnen één minuut tot een kwartier geregeld.

alien
Forum-lid
Berichten: 1854
Lid geworden op: 12 jun 2008 18:58

alien 20 mar 2017 10:09

amclassic-fan schreef:Je gebruikt mag ik hopen niet overal hetzelfde wachtwoord? Dan is het ergste dat kan gebeuren dat iemand een hoop moeite doet om je fietsforum wachtwoord te achterhalen :)
Nee, en dat is een ronduit dom antwoord.
Vorsprung durch Pedantik

Gebruikersavatar
amclassic-fan
Forum-lid HC
Berichten: 24317
Lid geworden op: 23 jun 2004 17:56
Locatie: Leende

Gebruikersavatar amclassic-fan 20 mar 2017 10:35

Als je dat zo wilt stellen, dan verwacht ik ook een onderbouwing. Overigens kom ik regelmatig op professioneel vlak in aanraking met zaken als SSL certificaten, dus ik heb volgens mij wel een idee waar ik het over heb.
‘Whatever you do, those other fuckers are doing more.’
Afbeelding

alien
Forum-lid
Berichten: 1854
Lid geworden op: 12 jun 2008 18:58

alien 20 mar 2017 12:14

Als je toegang tot iemands account hebt, kun je ook bij z'n PM's. Er is hier een vraag- en aanbodforum. Staat vast wel ergens een uitwisseling tussen in de trant van, "ik verkoop [X] omdat ik net een nieuwe carbonfiets van achtduizend euro gekocht heb. Wil het komen ophalen? Mijn adres is Joop Zoetemelkstraat 1 in Malaucène. Maar volgende week kun je niet langskomen, want dan ben ik met vakantie."

Anders gezegd: "het ergste dat kan gebeuren" is niet alleen dat iemand een hoop moeite doet om niks meer dan het forumwachtwoord te vinden.

JA, jouw antwoord was ronduit dom. En dat je daar uitleg bij nodig hebt, zegt me vooral dat je wellicht het één en ander weet van de technische kant van het verhaal, maar weinig snapt van de implicaties die zulke gedachten hebben. Beveilig je site. Kleine moeite, mogelijke gevolgen kunnen behoorlijk groot zijn.
Vorsprung durch Pedantik

Gebruikersavatar
amclassic-fan
Forum-lid HC
Berichten: 24317
Lid geworden op: 23 jun 2004 17:56
Locatie: Leende

Gebruikersavatar amclassic-fan 20 mar 2017 12:29

En dan kom je zoals ik al vermoede inderdaad op de schijnveiligheid van een 'slotje' in de browser. Het is namelijk niet bepaald zo dat Jan en Alleman het wachtwoord kan achterhalen omdat het via HTTP verstuurd wordt. Gezien de versie van PHPBB waar het forum opdraait zijn er wel grotere risico's.

Dat HTTPS wenselijk is voor het inloggen ben ik het mee eens, maar in het grotere geheel valt het risico in deze wel mee.
‘Whatever you do, those other fuckers are doing more.’
Afbeelding

Nee_Nee
Forum-lid HC
Berichten: 6866
Lid geworden op: 19 dec 2013 20:23

Nee_Nee 20 mar 2017 17:23

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
De laatste update forumsoftware stamt toch uit 2017 hoop ik? Als het echt 2007 is, dan is SSL een van je kleinere vraagstukken.

marcels
Forum-lid
Berichten: 203
Lid geworden op: 12 feb 2008 11:46
Locatie: Leende

marcels 08 mei 2017 11:31

NicoNB schreef: Voor het hacken van de applicatie (het forum of website) biedt https geen enkele extra veiligheid.
Als developer die dagelijks bezig is met security doet deze opmerking gewoon pijn :shock:

Plaats reactie