Beste Mods,
Zouden jullie kunnen overwegen om SSL te gebruiken ? Voelt toch iets veiliger met inloggen bijv.
Dank,
Othello
PS: Geloof dat de goedkoopste iets van 7 eu per jaar kost.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Want je gebruikt hetzelfde wachtwoord ook voor andere sites?
Lijkt me dat dat een beveiligingsprobleem is dat je niet met SSL oplost...
Overigens moet je maar afwachten of er in de betreffende SSL-implementatie niet toevallig ook een bug opduikt zoals kort geleden nog.
Algemene beveiligingstheorie gebiedt trouwens dat je alles op maat beveiligt, en dat een relatief zware beveiliging waar een lichte volstaat het geheel zelfs onveiliger zou kunnen maken.
Wat de financiële kant betreft: daar is mijn donatie niet voor bedoeld. Wellicht tijd voor een poll? Ik zou bijvoorbeeld misschien wel een paar euro extra doneren voor fotohostingfunctionaliteit als dat ter sprake komt, maar dus niet voor iets frivools als SSL.
Nee, maar men kan alles over een niet-ssl verbinding onderscheppen als iemand op hetzelfde segment zit van een netwerk. Dan praat ik niet eens over veel kabelgebruikers thuis maar als je ergens buiten bent op een netwerk is SSL toch fijn. Kost vrijwel niks en maakt het web weer een beetje veiliger 
PS: Leven zit vol met risico's, wie weet slaat morgen de bliksem in m'n frietje en smaakt mijn kroket dan erg krokant 
[Bericht gewijzigd door othello op (17%)]
CO heeft HTTPS (SSL) voor de accounts hoor
EricP
mét CE
Het lijkt me hoe dan ook wel een strak plan om default alles over https te doen. Niet alleen hier, maar op elke site...
UPDATE: Of ik ben gewoon moe deze week of het is er net Maar ik probeerde het net en zie inderdaad dat authenticatie over SSL loopt. Daarna gaat alles weer over niet-SSL.
Wellicht kunnen we alles over SSL laten gaan dan hebben we nog iets van deze topic te lezen In elk geval blij dat authenticatie zelf over SSL loopt.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Kijk da's dan goed nieuws. Het enige dat misschien enige beveiliging behoeft, heeft die dus ook netjes
Op 2 juni 2014 22:34:38 schreef othello:
Nee, maar men kan alles over een niet-ssl verbinding onderscheppen als iemand op hetzelfde segment zit van een netwerk. Dan praat ik niet eens over veel kabelgebruikers thuis maar als je ergens buiten bent op een netwerk is SSL toch fijn. Kost vrijwel niks en maakt het web weer een beetje veiliger
Ik weet dat men alles kan onderscheppen, maar als dat iets is waar niemand anders wat aan heeft -en zelfs je wachtwoord valt daar in principe onder, al is het wat gevoeliger dan de rest en zou een spammer er in theorie misschien belang bij kunnen hebben, dus toch mooi dat dat alsnog over SSL gaat- is er simpelweg geen veiligheidsprobleem.
@EricP: Maar waarom dan? Op het wachtwoord na, is in principe alles dat je over die verbinding jaagt openbaar of zo goed als openbaar en/of gaat het om dingen waar weinig belang bij is om te onderscheppen.
@Othello hieronder: Jep, dat is dus toch beter geregeld dan jij dacht en ook beter dan ik wist (nooit op gelet eerlijk gezegd). In theorie maakt het versleutelen van data waar dat niet nodig is, het kraken van de versleuteling makkelijker. In de praktijk zal dat meestal meevallen, maar moeite ergens voor doen om in het beste geval er niet op achteruit te gaan druist in tegen m'n natuur.
Ik dacht dat er geen ssl was bij authenticatie, maar dat is er dus wel Dus dat is eigenlijk het belangrijkste. Je weet hoe het internet is, altijd wel kwaadwillenden te vinden die de flauwste dingen doen. De rest is inderdaad sowieso openbaar, maar het is een kleine moeite om op de hele site ssl te gebruiken al is het om je posts en je gebruikersnaam tijdens verzending te vercijferen
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
SSL kost ook server-belasting: De server moet alles crypten en decrypten. Alles-over-ssl betekent mogelijk een zwaardere server en vrijwel zeker een hogere energie-rekening (alhoewel sommige hosting providers natuurlijk een fixed-rate deal met de kleine klanten maken).
EricP
mét CE
@EricP: Maar waarom dan? Op het wachtwoord na, is in principe alles dat je over die verbinding jaagt openbaar of zo goed als openbaar en/of gaat het om dingen waar weinig belang bij is om te onderscheppen.
Om de doodeenvoudige reden dat het niemand ene r**t aan gaat waar ik naar zit te kijken.
Zelfs veel nieuws sites doen https, sommige alleen nog maar https (en de http is een redirect daarheen).
Bedenk dat ratten als google groot geworden zijn door niks anders dan profilen waar jouw interesses liggen - en dat handig te verkopen.
Is er een reden om het niet te doen? Processing power is dat absoluut niet meer anno 2014. Een certificate kost ook geen drol meer. En al is ook die beveiliging dubieus (denk aan Diginotar, among others) en absoluut niet afdoende voor gevoelige data, het wordt nu toch een stuk ingewikkelder dan botweg op de datastream meeluisteren.
@Othello: Dat onderscheppen wordt al iets ingewikkelder sinds we switches en geen hubs meer gebruiken. Maar echt spannend is het inderdaad nog steeds niet.
[Bericht gewijzigd door EricP op (31%)]
hurricane
Mvg Oswald
Bij het lezen van deze draad, heb ik iets gedaan wat ik al lang had moeten doen.
Ik heb een donatie gedaan. Hosting en domeinregistratie kosten geld.
Om niet te spreken over de ontelbare uren die er in een forum kruipen.
Circuits online is een forum dat ik dagelijks bezoek. En alle dagen leer ik weer iets nieuws bij. Dat is onbetaalbaar.
Voor fotohostingfunctionaliteit ben ik ook wel te vinden. Het zou makkelijker zijn.
Prettige dag, iedereen !
Op 3 juni 2014 07:24:26 schreef EricP:
Om de doodeenvoudige reden dat het niemand ene r**t aan gaat waar ik naar zit te kijken.
<sarcasm>
Waarom denk je dat het uberhaupt iemand iets interesseert waar jij naar zit te kijken
</sarcasm>
Bedenk dat ratten als google groot geworden zijn door niks anders dan profilen waar jouw interesses liggen - en dat handig te verkopen.
Dergelijke ratten luisteren CO niet af. Ze overtuigen de serverbeheerder dingen als Google analytics of Facebook-like knoppen te plaatsen en verzamelen zo je gegevens. Ook als je HTTPS gebruikt.
EricP
mét CE
Yep. Dus die block je. Simple as that. Wel eens door gehad dat die ratten zo nu en dan proxy spelen als je op hun links klikt? Da's meer dan wat countertjes bijhouden.
Het gaan niet om afluisteren van CO, het gaat om 'big data'. Maar zoals gewoonlijk ziet men het probleem pas als het te laat is...
En wat is er op tegen?
Jeroen
Moderator
Op 3 juni 2014 07:24:26 schreef EricP:
Is er een reden om het niet te doen? Processing power is dat absoluut niet meer anno 2014. Een certificate kost ook geen drol meer.
Er is momenteel SSL voor het inloggen, registreren, wijzigen van je account, kortom: overal waar je wachtwoord over de lijn gaat.
Ik zou het liefste de hele site via SSL laten gaan, maar een van de belangrijkste redenen om dat niet te doen is dat je in het forum externe afbeeldingen kunt plaatsen en die meestal niet op een HTTPS locatie staan. Een browser laat het plaatsen van niet-HTTPS content in een HTTPS pagina niet toe.
Dus een van de opties zou dan zijn om members zelf te laten kiezen of ze HTTPS willen. Als ze dat dan aanvinken, worden er geen externe plaatjes meer in het forum geladen maar worden het links. Een andere optie is om alles via HTTPS te doen behalve de topic pagina's.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Maar goed, Eric zegt dat hij de "welk onderwerp hij bekijkt" ook "gevoelige informatie" vind. Dus dan helpt "alleen de topic paginas niet-https" voor hem ook niet.
EricP
mét CE
Over gevoelig heb ik het nooit gehad. Wel over informatie... En ik zie niet in waarom iemand anders dan de site en ik daar toegang toe zouden moeten hebben.
Voor wat betreft die externe plaatjes: dat is inderdaad een punt - als dat wel zou werken, dan zou je weinig aan https hebben. Ik zit er niet zo mee als die niet te zien zouden zijn (meeste sites doen wel https, alleen de links ernaar zijn vaak http, dus 'je weet het niet').
Welke topic's Eric (of wie dan ook) via https bekijkt is waarschijnlijk prima te achterhalen door de lengte van de https respons te bekijken: vrijwel geen enkel topic is exact even lang...
EricP
mét CE
Dat kost je al een heel stuk meer moeite - 'targeted attacks' om het maar zo te noemen kun je niet ontwijken (als ze maar 'targeted' genoeg zijn). Nu geef je alles zomaar weg - het big data verhaal wat ik je net noemde.
Verder worden er block ciphers gebruikt - per byte werken veel (alle?) algoritmen nou eenmaal niet. Je kunt dus hoogstens het aantal blocks matchen (waarvoor je dus eerst de hele site zou moeten indexen) en dan zullen er verbazend veel pagina's hetzelfde aantal blijken te hebben - heel veel die 'vol' zijn namelijk...
Op 3 juni 2014 10:29:15 schreef EricP:
Dat kost je al een heel stuk meer moeite
Nauwelijks. Je moet de (ecrypted) data afluisteren. Als je aanvaller dat niet kan, dan kun je net zo veilig http gebruiken.
Verder worden er block ciphers gebruikt
De block sizes zijn of 64 (oude, "onveilige" ssl-versies) of 128-bit. Dat gaat niet veel verschil maken....
[Bericht gewijzigd door blurp op (21%)]
Voor mij is een Forum openbaar. Dat betekend dat iedereen en alles kan zie wat ik doe of plaats.
Als ik naar een fysieke plek (bibliotheek, school, symposium) ga om informatie te zoeken kan ook iedereen die dat wil zien wat ik daar doe.
Voor mij komt er een andere betekenis aan het woord privacy. Big data zal ons denk ik meer gaan brengen dan kosten.
[Bericht gewijzigd door Jan klaasen op (20%)]
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Tot je laatste alinea was ik met je redenatie mee, privacy is immers een kwestie van context (openbare plaats zoals je aanhaalt) en bepalen wat wel en niet gevoelig is en welke beveiliging proportioneel, maar big data gaat wel degelijk heel veel kosten. Ten eerste verspilling van geld en moeite omdat het niet betrouwbaar werkt, en ten tweede omdat er collateral damage is ongeacht de betrouwbaarheid van de werking. Voorkomen van die collateral damage is 1 van de kern-nutten van privacy.
Op 3 juni 2014 07:24:26 schreef EricP:
[...]Om de doodeenvoudige reden dat het niemand ene r**t aan gaat waar ik naar zit te kijken.Zelfs veel nieuws sites doen https, sommige alleen nog maar https (en de http is een redirect daarheen).
Bedenk dat ratten als google groot geworden zijn door niks anders dan profilen waar jouw interesses liggen - en dat handig te verkopen.
Als Google over jouw schouder meekijkt op Circuitsonline dan heb je een groter probleem, aangezien ik jou er niet voor aanzie dat je Google-software op je computer hebt staan of onderwerp probeert te zijn van hun dienstverlening... Idem voor als een ander over jouw schouder meekijkt bij CO-bezoek, dan heb je kennelijk specifiek hun interesse en helpt een laagje SSL ook niet.
Tegen het in kaart brengen van jouw surfgedrag door derde partijen (tapje bij je internetprovider, auto van de BVD in de straat) helpt dat toch compleet niet? Dan moet je op zijn minst via een anonieme proxy of een TOR-netwerk surfen.
Of gewoon heel simpel terugbrengen tot de vraag: als jij naar CO surft, waar wordt dan de big data afgetapt en kan je dat voorkomen door SSL te gebruiken?
Op 3 juni 2014 09:19:19 schreef Jeroen:
[...]
Ik zou het liefste de hele site via SSL laten gaan, maar een van de belangrijkste redenen om dat niet te doen is dat je in het forum externe afbeeldingen kunt plaatsen en die meestal niet op een HTTPS locatie staan. Een browser laat het plaatsen van niet-HTTPS content in een HTTPS pagina niet toe.
Ben je daar zeker van?
In Firefox krijg ik ipv het slotje een uitroepteken, maar hij laadt wel gewoon de afbeelding.
In Internet Explorer is de afbeelding te zien, geen verschil te merken met een https pagina zonder images.
Google chrome laat de afbeelding zien, met een waarschuwingstekentje naast het slotje.
EricP
mét CE
Voor mij is een Forum openbaar. Dat betekend dat iedereen en alles kan zie wat ik doe of plaats.
Als ik naar een fysieke plek (bibliotheek, school, symposium) ga om informatie te zoeken kan ook iedereen die dat wil zien wat ik daar doe.
Volgens mij alleen de mensen in dezelfde ruimte of die door het raam staan te gluren. Dan nog moeten ze dicht genoeg bij zijn om te kunnen zien wat jij leest. Dat is nou niet bepaald 'iedereen'.
Voor mij komt er een andere betekenis aan het woord privacy. Big data zal ons denk ik meer gaan brengen dan kosten.
Hoe naïef kun je zijn?
Als Google over jouw schouder meekijkt op Circuitsonline dan heb je een groter probleem, aangezien ik jou er niet voor aanzie dat je Google-software op je computer hebt staan of onderwerp probeert te zijn van hun dienstverlening...
Heel goed. En dat geldt niet alleen voor google.
Idem voor als een ander over jouw schouder meekijkt bij CO-bezoek, dan heb je kennelijk specifiek hun interesse en helpt een laagje SSL ook niet.
Dan moet-ie wel over m'n schouder mee kunnen kijken. Da's toch al een stuk meer moeite dan gewoon een visnet uitgooien en pakken wat je pakken kunt. Zoals ik al eerder opmerkte: tegen een 'targeted attack' kun je niet zo heel veel doen. Jij moet alle 'lekken' vinden, de attacker slechts 1.
Of gewoon heel simpel terugbrengen tot de vraag: als jij naar CO surft, waar wordt dan de big data afgetapt en kan je dat voorkomen door SSL te gebruiken?
Mits goed geconfigureerd kun je alles voorkomen tussen jouw browser en de CO server. De plaats 'waar' is dan niet zo relevant meer... Met iets MITM ofzo is dat nog wel te omzeilen, maar dan zit je wederom in de 'targeted' hoek. Daar doe je toch niet zo heel veel tegen.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Op 3 juni 2014 17:11:53 schreef Uranium:
[...]Ben je daar zeker van?
In Firefox krijg ik ipv het slotje een uitroepteken, maar hij laadt wel gewoon de afbeelding.
In Internet Explorer is de afbeelding te zien, geen verschil te merken met een https pagina zonder images.
Google chrome laat de afbeelding zien, met een waarschuwingstekentje naast het slotje.
Het hangt ervan af. Als je je browser op "veilige" instellingen zet, mag je elke keer een dialoog wegklikken (IE deed dat, ik weet niet welke browsers en welke versies allemaal ook). Dat wordt in elk geval heel snel heel hinderlijk.
SSL zou kunnen voorkomen dat MEN kan zien welke topics jij wanneer leest.
Wat jij wanneer post kan is toch al openbaar, en alle informatie uit de topics ook.