Algemene beveiligingstheorie gebiedt [...] dat een relatief zware beveiliging waar een lichte volstaat het geheel zelfs onveiliger zou kunnen maken.
Sorry, kom de thread nu pas tegen.
De stelling is vast waar, maar hoe komt dat? Omdat de hacker dan meer materiaal heeft om mee te werken?
Los van privacy of "big brother" aspecten: er schijnen ISP's te bestaan die zo brutaal zijn (onversleuteld) HTTP verkeer even aan te passen. Pagina's even een script laten uitvoeren ook al staan er 0 scripts in de originele HTML. Links naar bekende sites even re-directen via een eigen proxy (om inhoud aan te passen, statistieken te vergaren die anders alleen door zo'n 3e site vergaard zouden worden, etc).
Kortom: bezoeker krijgt niet originele pagina te zien, maar ziet bijvoorbeeld een advertentie balkje terwijl originele pagina advertentie-vrij is. En laat zo'n site misschien links liggen terwijl site eigenaar zich van geen kwaad bewust is.
HTTPS is een middel om zulk soort sneaky gerommel een stuk moeilijker te maken.
Jammer dat het zover gekomen is op het web. "Encryptie overal" maakt diverse zaken qua hosting / caching ed. ingewikkelder en minder efficiënt. Maar (naar mijn bescheiden mening) is het gewoon niet anders: spionerende veiligheidsdiensten, onbetrouwbare ISP's, open Wi-Fi netwerken waar iemand al het verkeer onderschept / analyseert: voor een vertrouwelijk website <-> bezoeker contact kun je zo langzamerhand gewoon niet meer om encryptie heen... 
En dus goed dat CO hier ook mee bezig is! 
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Sinds snowden weten we dat de veiligheidsdiensten inprikken op grote internetlinks. Dan zie je allerlei data langskomen. Je kan in de data-fase van de HTTP response gaan zoeken naar interessante termen. Dan vind je paginas waarvan je de inhoud "discutabel" vind, of van mening bent dat mensen die dat lezen in de gaten gehouden moeten worden. Heb je eens zo'n link bekeken ("Wat zeggen die extremisten nu wel niet op hun eigen forum"), dan sta je op de "in de gaten houden" lijst.
Hoe groter het aandeel https verkeer, hoe minder effectief dit soort praktijken wordt.
Ohja, Jeroen, je zegt ergens: "iemand die afluistert zou met https niet weten welke site bezocht wordt.". Dat kan natuurlijk een beetje waar zijn als er op een IP adres vele sites staan. Maar in de praktijk is het aantal sites op een IP adres voldoende klein dat "men" daar zo achter is. Als de NSA weet dat op IP adres x.y.z.w een ISIS site staat, dan kunnen ze makkelijk zat alle homepages van dat ip adres opvragen en vervolgens aan de sizes en access-patronen (hoeveel plaatjes haalt ie op nadat de homepage is geladen?) zien welke je te pakken had.
Kortom, welke site je bezoekt is, ook met HTTPS, geen geheim.
Het "alles HTTPS maken" draagt er aan bij dat mensen die door hun regime onderdrukt worden op het internet vrij zijn en lastiger te traceren. DAAR draagt een https op CO aan bij.
Ik had sowieso al HTTPS omdat ik de browserplugin 'HTTPS Everywhere' gebruik (is van EFF). Die probeert al zoveel mogelijk sites in HTTPS te laten laden. Maar mixed content is altijd lastig natuurlijk.
Goed dat jullie hiermee bezig zijn! Tweakers.net is sinds kort ook helemaal over, misschien hebben zij nog info die jullie kunnen gebruiken: https://tweakers.net/reviews/4555/1/tweakers-stapt-over-op-https-waaro…
Op Tweakers zag ik dat de uitgaande mail niet versleuteld is: https://gathering.tweakers.net/forum/list_message/47448529#47448529
Geen idee hoe dat bij jullie is ingesteld, maar ik post het hier even zodat dat niet over het hoofd wordt gezien 
P.S. Ik zie dat jullie een certificaat afnemen bij Comodo. Die speelt niet zulke leuke spelletjes: https://tweakers.net/nieuws/112865/comodo-probeert-lets-encrypt-als-ha…
Tweakers gebruikt zelf Let's Encrypt, die ook nog eens gratis is!
Lijkt mij voor CircuitsOnline een stuk interessanter dan Comodo.
Jeroen
Moderator
Op 3 juli 2016 17:01:16 schreef maartenbakker:
Ik geef toe dat ik specifiek een probleem heb met het vertrouwen stellen in Google, want volgens de letter is het inderdaad allemaal redelijk in orde.
Het blijft inderdaad een kwestie van vertrouwen. Het zou wellicht nog iets zijn om te kijken naar analytics software die we zelf kunnen installeren (Piwik bijvoorbeeld).
Is er een specifieke reden om het onconfigureerbaar te maken inplaats van gewoon standaard aan te zetten?
Wanneer het allemaal goed werkt (daar is deze testperiode voor), zie ik geen reden waarom iemand het zou willen uitzetten. Wanneer de instelling blijft is het ook weer iets dat in de toekomst ondersteund en getest zou moeten worden.
Op 3 juli 2016 18:36:14 schreef rew:
Ohja, Jeroen, je zegt ergens: "iemand die afluistert zou met https niet weten welke site bezocht wordt.". Dat kan natuurlijk een beetje waar zijn als er op een IP adres vele sites staan. Maar in de praktijk is het aantal sites op een IP adres voldoende klein dat "men" daar zo achter is.
[...]
Kortom, welke site je bezoekt is, ook met HTTPS, geen geheim.
Het zit iets anders: "vroeger" kon je op één IP-adres maar één HTTPS site hosten (multi-domain en wildcard certificaten even buiten beschouwing gelaten). Dat komt omdat de verbinding versleuteld wordt voordat de browser kan zeggen "van die domeinnaam wil ik een pagina opvragen" en dan moet het certificaat al in gebruik zijn (waar de domeinnaam in staat). Tegenwoordig is dat met SNI makkelijker maar ook dan wordt de domeinnaam die wilt opvragen onversleuteld verzonden. Volgens mij schrijf ik in het nieuwsbericht ook niet dat men niet weet welke site je bezoekt.
Op 3 juli 2016 19:45:33 schreef ThinkPad:
Op Tweakers zag ik dat de uitgaande mail niet versleuteld is: https://gathering.tweakers.net/forum/list_message/47448529#47448529
Geen idee hoe dat bij jullie is ingesteld, maar ik post het hier even zodat dat niet over het hoofd wordt gezien
Bedankt, mail moet inderdaad nog naar gekeken worden .
Tweakers gebruikt zelf Let's Encrypt, die ook nog eens gratis is!
Lijkt mij voor CircuitsOnline een stuk interessanter dan Comodo.
Het huidige certificaat is aangeschaft voordat Let's Encrypt beschikbaar was. Wanneer het verloopt (over iets meer dan een jaar) zal ik zeker naar Let's Encrypt kijken.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Let's encrypt had weer een ernstig security lek pas geleden....
Edit: Jeroen: Je MOET je even inlezen over dat lek.... Die proxy van jou zou "circuitsonline" via dat lek, maar dan subtiel anders, open kunnen zetten (= iedereen kan dan een letsencrypt CO certificaat aanvragen, als je het verkeerd doet!).
[Bericht gewijzigd door rew op (66%)]
Jeroen
Moderator
Bedoel je deze toevallig: https://tweakers.net/nieuws/113009/nederlands-bedrijf-ontdekt-kwetsbaa…
Dit gaat over StartEncrypt, iets anders dan Let's Encrypt (maar het is verwarrend). Ik kan geen lek in Let's Encrypt vinden. En StartEncrypt gebruiken we niet op Circuits Online.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Oeps. Ja, die bedoel ik. Kan zowiezo geen kwaad om effe te zorgen dat je nooit zo'n test-filetje van de SSL jongens gaat cachen, anderzijds, je weet natuurlijk niet hoe Antigua-trust(*) z'n verficiatie doet.
(*) Random verzonnen certificaten-boer.
Jochem
If you want to succeed, double your failure rate.
Sommige gebruikers hosten hun eigen dynamisch gegenereerde avatars. Betekent het dat deze door het cachen van de proxy niet meer zo regelmatig zullen rouleren, of wordt door de proxyserver altijd de meegegeven cache-control in de headers gerespecteerd?
Ook even aangevinkt.
Maarem Jeroen iets wat ik wel heel vreemd vond:
Die tekst die eronder staat is toch uit te schakelen als het vinkje NIET disabled is?
Ik neem tenminste aan dat bij gebruikers die niet doneren het vinkje disabled is.
Jeroen
Moderator
Op 4 juli 2016 08:29:10 schreef Jochem:
Sommige gebruikers hosten hun eigen dynamisch gegenereerde avatars. Betekent het dat deze door het cachen van de proxy niet meer zo regelmatig zullen rouleren, of wordt door de proxyserver altijd de meegegeven cache-control in de headers gerespecteerd?
Caching headers worden gerespecteerd, maar dan moeten die wel gezet worden door die dynamische avatars .
Op 4 juli 2016 08:35:11 schreef High met Henk:
Die tekst die eronder staat is toch uit te schakelen als het vinkje NIET disabled is?
Ik neem tenminste aan dat bij gebruikers die niet doneren het vinkje disabled is.
Klopt, die tekst die eronder staat kan wel weg als je gedoneerd hebt.
Gebruik de SSL optie sinds dat het mogelijk is.
Heb geen problemen gevonden, wel een leuke bijkomstigheid.
Zonder SSL wou de site af en toe langzaam reageren/laden, nadat ik SSL heb aangezet reageert de site normaal. En ja zodra ik uitlog (geen SSL) komt het probleem weer naar voren.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Dat hint er naar dat er een "man-in-the-middle" jou HTTP verkeer aan het bekijken is en ondertussen zo nu en dan "even" op iets moet wachten wat dan langer duurt...
Een alternatief is dat er een browser plugin is die min of meer datzelfde doet. En kennelijk niet met ssl paginas.
Ik heb een tijdje een Video-download-helper geinstalleerd gehad die trage verbindingen naar cdnjs.org maakte. De website daar linkte naar cdnjs.com, maar die gasten daar wisten van niets. Blijkt de download helper dus http://cdnjs.org/track.php aan te roepen... Je mag 1x raden wat ie daar deed.... (en die server deed dus regelmatig 15 sec er over om de verbinding door te laten gaan).
Nee denk het niet. Komt alleen voor bij Circuits Online en geen andere sites. Daarbij gebeurde het ook op bijv. m'n nieuwe smartphone. Maar bedankt voor je hint
Ben al erg voorzichtig met mijn verbinding, had in het verleden er een Cisco ASA met strikte rules eraan hangen en nu een Edgerouter.