Op 3 juni 2014 17:35:19 schreef EricP:
Mits goed geconfigureerd kun je alles voorkomen tussen jouw browser en de CO server. De plaats 'waar' is dan niet zo relevant meer.
Ik heb net een onderzoek gequote dat op zijn minsts aannemelijk maakt dat iemand die toegang heeft tot de https-datastroom* ook kan achterhalen welke topics op CO je wanneer bekeken hebt.
Als je denkt dat toegang tot de https-data moeilijk is, waarom wil je dan nog https? Toegang tot de https-data is net zo moeilijk als toegang tot de http data.
Mijn stelling is dat encryptie van het topics lezen en posten geen toegevoegde waarde heeft voor de bescherming van jouw privacy.
Uiteraard is de login en persoonlijke gegevens een ander verhaal. Maar die zijn wel encrypted volgens de baas.
*) Dus iemand die jouw verbinding aftapt
EricP
mét CE
Ik heb net een onderzoek gequote dat op zijn minst aannemelijk maakt dat iemand die toegang heeft tot de https-datastroom* ook kan achterhalen welke topics op CO je wanneer bekeken hebt.
Je blijft voorbij gaan aan het feit dat als je 'targeted' gaat kijken, (bijna) niks 'dicht' is. Voor de big data / sleepnet is het dat dus wel.
Als je denkt dat toegang tot de https-data moeilijk is, waarom wil je dan nog https? Toegang tot de https-data is net zo moeilijk als toegang tot de http data.
Misschien moet je dat zelf nog even herlezen en vertalen naar Nederlands 
Mijn stelling is dat encryptie van het topics lezen en posten geen toegevoegde waarde heeft voor de bescherming van jouw privacy.
Van het posten niet nee. Duh... Je zet het zelf openbaar online...
Uiteraard is de login en persoonlijke gegevens een ander verhaal. Maar die zijn wel encrypted volgens de baas.
Die zijn maar marginaal interessanter dan de rest in deze context...
pa3gws
Ik ben gestopt met roken nu mijn schakelingen nog.
Ik begrijp het hele gez... over privacy niet.
Als je privacy wil dan moet je in een hutje op de hei gaan zitten ramen en deuren dichtmetselen.
Misschien heb je dan wat privacy.
Overal waar je komt sta je op de een of andere bewakings camera.
En als je een mobieltje hebt dan is het helemaal klaar.
Ik heb niets te verbergen dus zal het mij aan mijn r... roesten.
pa3gws:
Jammer dat je zo denkt, gelukkig zijn er steeds meer mensen die wel het grotere plaatje zien waardoor een stukje privacy belangrijk blijft. Je hoeft niet iets te verbergen om toch een stukje privacy te hebben, principe en recht voor de mens.
ericp:
Met arp poisoning e.d kun je een switch op hetzelfde subnet nog vaak om de tuin leiden.
In elk geval wat eigenlijk het punt is van volledige SSL is dat de data die men stuurt encrypted is en je een derde niet kan zien wat je post en onder welke gebruikersnaam. Dus los van het forum open is voor het publiek, gaat om het moment dat de data naar circuitsonline gaat en terug natuurlijk
In elk geval is authenticatie wel SSL wat fijn is.
Wat betreft externe afbeelding laden tijdens een ssl sessie, je browser zal een uitroepteken geven om aan te geven dat niet de hele pagina encrypted is.
[Bericht gewijzigd door Henry S. op (21%)]
Jochem
If you want to succeed, double your failure rate.
Ik begrijp het gezeik over privacy wel. Alleen als je denkt dat dat bij CO moet beginnen heb je het niet helemaal begrepen. Met het inburgeren van iPhones en Android phones hebben we eigenlijk allemaal zoveel privacy opgegeven dat de rest er niet meer toe doet.
Arco
Special Member
Arco - "Simplicity is a prerequisite for reliability" - hard-, firm-, en software ontwikkeling: www.arcovox.com
Ik houd ook wel van mijn privacy en bescherming van mijn gegevens. Maar op CO staan nauwelijks of geen privacy gevoelige gegevens.
Ik vind het daarom ook een hoop gezever om niets. Als je bijv. niet wilt dat je email adres bekend wordt, vul het dan niet in.
Arco:
Het is niet een ramp dat we geen volledige SSL hebben, maar het is een kleine moeite om te doen. Als het er niet komt dan heb ik er geen probleem mee.
pa3gws
Ik ben gestopt met roken nu mijn schakelingen nog.
@Jochem
Dat is een betere omschrijving dan die ik eraan gaf.
Door de moderne communicatie middelen die we bijna allemaal gebruiken (uitzonderingen daargelaten 
)is er niet zo heel veel privacy meer.
En ook moeten we de bewakings camera's niet vergeten.
Je kan het inbreuk vinden op je privacy maar er zijn al heel veel criminelen dankzij die systemen opgepakt.
Jochem
If you want to succeed, double your failure rate.
Op 3 juni 2014 20:35:38 schreef EricP:
Wel grappig dat je dat zegt... In mijn omgeving heeft dus vrijwel niemand zo'n ding...
Dat scheelt, maar dan ben je een uitzondering. Ik heb mezelf (toen ik nog een symbian had) een tijd van WhatsApp weggehouden. Tot ik in de gaten kreeg dat ik al lang gelinkt was aan iedereen om me heen waar ik in het adresboek stond. Het is bijna niet te stoppen dit soort grappen.
@pa3gws: ik denk dat het aantal opgepakte criminelen helemaal niet opweegt tegen de privacyschending van tegenwoordig (als we het dus over de "rechten" van de overheid hebben).
EricP
mét CE
Je kan het inbreuk vinden op je privacy maar er zijn al heel veel criminelen dankzij die systemen opgepakt.
Da's nieuws! Volgens mij hoor je steeds meer dat de kosten niet opwegen tegen het minimale tot afwezige resultaat...
pa3gws
Ik ben gestopt met roken nu mijn schakelingen nog.
Op 3 juni 2014 20:41:14 schreef othello:
De echte criminelen moet je dan ook niet zoeken door middel van bewakingscameras
Nee dat snap ik die weten beter de weg dan wie ook.
En of het kosten dekkend is zal mij een zorg zijn.
Maar juist de imbecielen die zonder reden iemand in elkaar trappen worden wel door die systemen geregistreerd.
[Bericht gewijzigd door pa3gws op (26%)]
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Op 3 juni 2014 20:49:18 schreef EricP:
[...]Da's nieuws! Volgens mij hoor je steeds meer dat de kosten niet opwegen tegen het minimale tot afwezige resultaat...
Inderdaad, of je hoort de bekende wc-eendverhalen: Dat er al 3 gepakt zijn (maar dat dat om toevalstreffers gaat of om een zeer klein percentage, of zelfs om mensen die achteraf vrijgesproken worden, vertelt niemand erbij).
Maar terugkomend op dat sleepnet. Een man in the middle kan je leesgedrag inderdaad uitvissen (je postgedrag kon hij sowieso al, het is immers een openbaar forum, om het nog maar niet te hebben over de registratie van verkeer, waar je al snel TOR voor nodig hebt om dat te omzeilen). Maar gezien de aard van het forum en ueberhaupt het gebruik van een sleepnet inplaats van analitische koekjes en dergelijke, is dat dan al wel iemand die vrij specifiek geïnteresseerd moet zijn, dus eerder een geheime dienst dan dat een partij als Google verkeer over zijn servers routeert om het af te luisteren, en al helemaal niet jouw eigen provider of Jeroen, want die zouden binnen no-time een proces aan de broek hebben. Een partij met een dergelijke specifieke interesse in relatief triviale gegevens maalt naar mijn idee niet echt om SSL.
@Jochem: Ik gebruik Whatsapp (op een Symbian zelfs), en dat is inderdaad een kwestie van "heel hard hopen". Ze beweren zelf je gegevens niet te gebruiken en geen content te bewaren (maar alsnog beperk ik gesprekken zoveel mogelijk tot niemendalletjes). Ik vrees dat Facebook op enig moment na het rondbreien van de overname die adresboeken wel gaat gebruiken, maar dat ga je dan wel zien aan eventuele vriendsuggesties. Als het zover is, is het natuurlijk te laat maar wat je al zegt, je staat er toch al tussen ook al zou je het niet gebruiken (zelfde laken en pak met Google).
Jeroen
Moderator
De discussie over privacy is interessant, maar meer geschikt voor de koffiecorner.
Ik vind zelf de veiligheid een belangrijker argument voor SSL: als je ingelogd bent wordt met iedere pagina een cookie meegestuurd met daarin de sessie ID. Zo weet de server wie je bent. Als je geen SSL gebruikt kan iemand, als ie het HTTP verkeer onderschept, achterhalen wat je sessie ID is en onder jouw naam inloggen. Op openbare wifi netwerken is dat kinderlijk eenvoudig. Overigens is dat op veel sites mogelijk, Circuits Online is daar niet de enige in.
Op 3 juni 2014 17:11:53 schreef Uranium:
In Firefox krijg ik ipv het slotje een uitroepteken, maar hij laadt wel gewoon de afbeelding.In Internet Explorer is de afbeelding te zien, geen verschil te merken met een https pagina zonder images.
Google chrome laat de afbeelding zien, met een waarschuwingstekentje naast het slotje.
Het blijkt dat moderne browsers inderdaad de afbeelding wel laden maar met een waarschuwingsteken. Oudere IE versies geven een dikke weg-te-klikken melding op iedere pagina. Maar goed, ik ga geen site maken die waarschuwingen in browsers geeft.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Dat lijkt me los van de privacydiscussie (of de sessies, dom dat ik daar niet eens aan gedacht had, al is de vraag of iemand er belang bij heeft om je CO-sessie te jatten) een zinnig argument om voorlopig de doorslag te geven.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Mijn vader heeft goede ervaring met een "insekten-verdrijver" die ik voor hem in china besteld heb. Dus nu komt zijn buurman nu zeuren of ie er ook 1 kan krijgen. Prima. Dus ik google weer even naar de insekten-verdrijvers.
De "big data" algorithmes die dat "doorhebben" weten dat en zullen de komende tijd mij diverse advertenties mbt die insekten-verdrijvers door de neus proberen te duwen. Veel mensen hebben dan het gevoel dat ze "bespied" worden: Er ie IEMAND die weet dat /ik/ een insecten-probleem heb.
/dat/ is waarschijnlijk niet zo. Er is een computer die "weet" dat als jij bepaalde zoektermen hebt gebruikt, de kans groter wordt dat jij op bepaalde advertenties reageert. Of dat nou over insecten of zwangerschap gaat, maakt niet uit. Voor die computer is er een statistische relatie tussen de zoektermen en de advertenties die een reactie uitlokken.
Het lijkt me eerlijk gezegd stug dat iemand de topics op CO zou uitpluizen en relaties met advertentie-inkomsten gaat leggen. Iemand die topic XXX bekijkt moeten we bestoken met advertenties over opamps, iemand die topic YYY bekijkt gaan we proberen een step-down-converter te verkopen. Te specialistisch.
Maar goed. We zijn evolutionair "ontwikkeld" om voorzichtig te zijn, en liever iets banger te zijn dan nodig dan andersom. (De overlevingskansen van degene die de fout maakt: "D'r zal wel geen leeuw in dat bosje zitten" zijn kleiner dan diegene die de fout maakt: "d'r zal VAST een leeuw in dat bosje zitten"). Dus mensen zijn achterdochtig.
Een goede encryptie zal inderdaad ook zorgen voor een padding om te zorgen dat de lengte van de responses minder voorspelbaar is, en dat daar minder informatie uit te halen is. Met combinaties van patronen is dan nog steeds best wel eea uit te halen. Maar dan zit je toch echt naar een "targeted" attack te kijken: Iemand heeft het op de een of andere manier op jou gemunt. En het gaat dus niet zomaar om "google" die gewoon in de logfiles kijkt naar wat jij in het zoek-term-veld hebt ingevuld.
Zodra jij de target van "NSA" bent, gaan ze kijken wat voor computer je hebt, kijken ze de catalogus door met "beschikbare hacks" en kiezen er 1 uit om iets op je computer te installeren. Worst case flashen ze effe de bios dat als jij de computer opnieuw installeert hij toch later weer effe zelf de hack installeert zodat ze er weer bij kunnen. En ook dat kunnen ze!
Lukt het niet om op afstand binnen te komen, sturen ze een mannetje langs om een keyboard logger o.i.d. te installeren.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
En dat bedoel ik (onder andere) met 'het werkt niet'. Zolang jij zwanger bent en insectenproblemen hebt, blijven je buren buiten schot.
Een partij die belang heeft bij het uitpluizen van topics op fora, is een partij die grossiert in analytics-software. Die krijgen de zooi dus op een presenteerblaadje door site-admins aangereikt zonder dat ze er voor hoeven af te luisteren.
Jeroen
Moderator
Je kunt nu in je instellingen aanvinken dat je HTTPS voor de hele site wil inschakelen. De komende tijd kunnen we zo testen, over een paar maanden wordt die optie voor iedereen aangezet.
Zie ook het nieuwsbericht, hier staat in waarom we overgaan naar volledig HTTPS en hoe we dat gaan doen.
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Leuk om te horen dat er achter de schermen flink doorgebouwd wordt. Ik krijg de pagina's in elk geval goed binnen als ik https aanzet. Als ik het artikeltje zo even diagonaal lees, zou het zomaar kunnen dat het probleem dat ik externe foto's (van sites als foto-emmer en flikker) niet altijd te zien krijg, op deze manier wordt opgelost. Dat zal ik nog moeten testen, maar zou toch mooi meegenomen zijn.
De man in the middle gebruiken om berichten te posten is iets dat weinig voorkomt maar in elk geval wel erg nuttig is om te voorkomen op deze manier.
Al blijf ik er bij dat de partijen van wie we het meest te duchten hebben qua privacy, onverminderd hun data kunnen blijven garen (misschien daarom zelfs het gebruik van https aanmoedigen, dat zet ze op een voordeel) er is dus ook steeds een stukje schijnveiligheid bij.
Wat me op een idee brengt.... Staat er al ergens op de lijst van mogelijke features om statistieken van externe partijen uit te vinken in je profiel?
Jeroen
Moderator
Wat bedoel je met statistieken van externe partijen? We gebruiken alleen Google Analytics, die zo privacy vriendelijk mogelijk is ingesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens (daarom kon de cookiemelding ook vervallen). Meer info staat in de privacy policy.
rew
four NANDS do make a NOR . Kijk ook eens in onze shop: http://www.bitwizard.nl/shop/
Met over een tijdje voor iedereen aanzetten bedoel je dat je het vinkje voor iedereen in 1x aanzet, met de optie om het weer uit te zetten? Mooi.
Ik zet mijn fotos bij mij op de server. Die doet ook HTTPS (of het fotoding dat ook doet weet ik even niet). Maar soms kijk ik in de logfiles hoe vaak zo'n ding bekeken is. Dat verlies ik met die proxy hier op CO.
Maar als ik WEL https zou doen, dan zou er toch sprake zijn van een "riskante" situatie als de plaatjes van mijn server zouden komen, nietwaar? Of wordt dat standaard WEL goedgekeurd?
Jeroen
Moderator
Op 3 juli 2016 16:56:34 schreef rew:
Met over een tijdje voor iedereen aanzetten bedoel je dat je het vinkje voor iedereen in 1x aanzet, met de optie om het weer uit te zetten? Mooi.
Nee, dan wordt het voor iedereen aangezet en de optie gaat weg, zodat de site voor iedereen HTTPS wordt.
Maar als ik WEL https zou doen, dan zou er toch sprake zijn van een "riskante" situatie als de plaatjes van mijn server zouden komen, nietwaar? Of wordt dat standaard WEL goedgekeurd?
Als jij afbeeldingen met een HTTPS URL plaatst, gaat ie niet door onze proxy server. Die wordt direct geplaatst. Uiteraard moet je dan wel een geldig certificaat hebben. Waarom zou er dan een riskante situatie ontstaan?
maartenbakker
Golden Member
www.elba-elektro.nl | "The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
Op 3 juli 2016 16:54:54 schreef Jeroen:
Wat bedoel je met statistieken van externe partijen? We gebruiken alleen Google Analytics, die zo privacy vriendelijk mogelijk is ingesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens (daarom kon de cookiemelding ook vervallen). Meer info staat in de privacy policy.
Hulde voor dat privacybeleid, melding over koekjes was me nog niet opgevallen. Ik geef toe dat ik specifiek een probleem heb met het vertrouwen stellen in Google, want volgens de letter is het inderdaad allemaal redelijk in orde. Zij hebben CO beloofd dat ze de gegevens niet voor andere diensten gebruiken, maar ondertussen slaan ze ze wel op en mogen ze ze in beperkte mate delen. Niemand controleert wat ze er echt mee doen, wat de derde partijen er mee doen, en wat opgeslagen is kan altijd uitlekken (dat geldt opzich ook voor elk ander bedrijf, maar bij Google kan een lek meteen heel groot zijn).
Op 3 juli 2016 17:00:55 schreef Jeroen:
[...]Nee, dan wordt het voor iedereen aangezet en de optie gaat weg, zodat de site voor iedereen HTTPS wordt.
Is er een specifieke reden om het onconfigureerbaar te maken inplaats van gewoon standaard aan te zetten?