Htforum.nl

Met de nieuwe versie browsers krijg ik steeds vaker dit soort meldingen wanneer er http ipv https wordt gebruikt.
Is het mogelijk het HTforum veiliger te maken met een https verbinding?

(http://oi63.tinypic.com/2ajs8p0.jpg)

Ik heb er verder geen verstand van, maar de melding zal niet voor niets verschijnen, toch?
Dus ik vroeg mij af of dit te fixen is, al die meldingen en rode slotjes geven een minder fijn gevoel.

Ze moeten het vertificaat vernieuwen, anders is het idd niet veilig.

Kost een https site meer?

Quote from: Kingpin on March 16, 2017, 19:23:35
Ze moeten het vertificaat vernieuwen, anders is het idd niet veilig.

is er wel een certificaat (geweest)?

Quote from: TopGun2010 on March 16, 2017, 21:21:47
Kost een https site meer?

Je moet een certificaat kopen en da's dus niet gratis en moet om de zoveel tijd vernieuwd (en dus betaald) worden.

Een site waarbij geregistreerd moet worden is het zelfs wettelijk verplicht !

Geen reacties van mod of Frank.......
Dit kan echt niet zo blijven !!!;

Doe niet zo moeilijk joh, welk een risico loop jij/lopen wij?
Ervaar je die als te groot; andere sites bezoeken dan deze  8).

Quote from: morca on March 17, 2017, 02:18:49
Geen reacties van mod of Frank.......
Dit kan echt niet zo blijven !!!;

Om even een en ander in perspectief te plaatsen, wat denk je wat https toevoegd in dit geval?

Het gebruik van een certificaat garandeerd dat je ECHT op htforum terecht bent gekomen en niet op een fake site. Ik zie nog niet zo snel een fake htforum ontstaan en als die er al was, wat is dan het risico dat je loopt door iets te posten?

Het tweede punt is dat door https (ipv http) het verkeer van jou naar de site en terug encrypted verloopt. Lekker boeiend, aangezien de content uiteindelijk gewoon publiekelijk beschikbaar is.

Het enige risco met http ipv https is dat men je login gegevens jat en onder jouw naam gaat posten. Dus ja er is een veiligheidsrisico, maar ik zie geen reden om er nou echt wakker over te gaan liggen  :angel:

Neemt niet weg dat het certificaat fixen natuurlijk wel zo netjes is.

Zo lang er geen betalingsverkeer is, niet nodig imho.

Ik zal ze de kost niet geven die onder hun emailadres hetzelfde wachtwoord gebruiken bij al hun handel en wandel op internet ...
Hoe het ook zij, het is wettelijk verplicht,  niet moeilijk over doen gewoon fixen.

Zoals ik al aangaf, ik heb er echt geen verstand van... maar ik dacht dus, misschen kunnen kwaadwillenden dan ook ip-adressen achterhalen, dat in combi met de mail-adressen en wachtwoorden zou wel gevaarlijk kunnen zijn. Men zou kunnen zien wie en waar er mooi spul staat....

Het zou fijn zijn als hier een admin op zou willen reageren.

De inlog pagina zou zeker secure moeten zijn. Komodo certificaat kost amper wat.

Quote from: Sjaak_Banaan on March 17, 2017, 08:30:48
Zoals ik al aangaf, ik heb er echt geen verstand van... maar ik dacht dus, misschen kunnen kwaadwillenden dan ook ip-adressen achterhalen, dat in combi met de mail-adressen en wachtwoorden zou wel gevaarlijk kunnen zijn. Men zou kunnen zien wie en waar er mooi spul st

http of https staat helemaal los van het wel of niet hackbaar zijn van het forum. Dus nee het gebruik van http heeft niets te maken met ip adressen kunnen achterhalen.

Dit gaat besproken worden binnen ons team.


Jeroen.

HTTPS betekend dat de data die van en naar jou PC, telefoon, tablet etc. encrypted is. Nu is het HTTP, en is de data platte tekst, die makkelijk uitgelezen kan worden. Inprincipe is het een slechet zaak als de inlog pagina niet secure is. De rest ... tja.. je prive berichten, maar de rest knal je sowieso op een openbaar forum.

Goed excuus voor de vaste ban-klanten: zo heb ik het niet getypt! :p

Letsencrypt levert gratis certificaten, dat is de moeite niet. Er zijn alleen ongetwijfeld heel veel externe afbeeldingen etc. die je dan eigenijk in eigen beheer moet nemen.

Quote from: Jeroen de Waal on March 17, 2017, 12:47:47
Dit gaat besproken worden binnen ons team.


Jeroen.

Goed om te horen.
Zouden jullie de uitkomst hiervan nog willen posten?

Ik kan alvast aangeven dat we serieus gaan kijken naar een certificaat.


Jeroen.

Quote from: Kingpin on March 17, 2017, 07:27:18
Hoe het ook zij, het is wettelijk verplicht,  niet moeilijk over doen gewoon fixen.

Dit is volgens mij wat strenge interpretatie van de wet. De wet zegt dat je passende organisatorische en technische maatregelen moet nemen passend bij de functie van de site. Dus ja, bij een bank of webshop mag je HTTPS verwachten. Of we dat dan ook gelijk bij een forum moeten verwachten waar we een beetje leuteren of audio apparatuur, auto's, de invloed van de stand van de maan op de performance van je kabels enz. Mwah, geloof niet dat er uberhaupt mensen zijn die die informatie willen stelen.

Enige punt is inderdaad dat mensen vaak hetzelfde wachtwoord op vele sites gebruikt, maar dat is dan ook op zich al niet heel slim.

Quote from: Xander32 on March 17, 2017, 05:58:59
Doe niet zo moeilijk joh, welk een risico loop jij/lopen wij?
Ervaar je die als te groot; andere sites bezoeken dan deze  8).

Ik doe niet moeilijk.
Gezien de meeste reactie, s hieronder is het toch niet ok zo.
Jeroen gaat er niet voorniks naar kijken .......

Quote from: Jeroen de Waal on March 27, 2017, 12:39:20
Ik kan alvast aangeven dat we serieus gaan kijken naar een certificaat.


Jeroen.

Dank voor een reactie op deze vraag
We zien de uitkomst tegemoed

Het is een beetje een aparte regel.
We worden nu gedwongen om PER site een x bedrag PER dag te betalen voor een google certificaat.
Heb je dit niet dan zorgen ze er dus voor dat je een icoon in beeld krijgt van onveilig....

Een "beetje" geldklopperij.
We hebben een flink aantal sites en dit loopt toch wel in de papieren op deze manier, maar we zullen maar mee gaan.
Het voelt alleen een beetje als de kopieer belasting, heb je een kopieer apparaat dan MOET je elk jaar een "boete" betalen ook al kopieer je nooit wat van een ander. het jammere is dat ze doen voorkomen alsof volledig veilige sites nu ineens onveilig zijn en dus word eigenlijk het mes op je keel gezet. Kwalijke zaak maar goed nogmaals de overheid houd het niet tegen en we willen natuurlijk geen "gekke ideeen" aan mensen geven, dus zijn we ermee bezig.

Bizar he, Google Owns the internet

.

Sterker nog, https bepaalt ook je SEO ranking.
Is een ijverige handel in certificaten, voor de meeste providers toch weer €25,00 per jaar extra per klant. De meeste providers ondersteunen de gratis certificaten niet ( lees, willen ze niet plaatsen) dus je ligt idd met je kloten op het blok. Bij sommige providers is hierdoor het certificaat per jaar duurder dan het hostingpakket zelf :D

Quote from: Raphie on April  7, 2017, 06:57:16
Sterker nog, https bepaalt ook je SEO ranking.
Is een ijverige handel in certificaten, voor de meeste providers toch weer €25,00 per jaar extra per klant. De meeste providers ondersteunen de gratis certificaten niet ( lees, willen ze niet plaatsen) dus je ligt idd met je kloten op het blok. Bij sommige providers is hierdoor het certificaat per jaar duurder dan het hostingpakket zelf :D

Dat is vanaf begin dit jaar idd. Wij hebben een webshop, en zijn ook meteen over gegaan op volledig HTTPS.

Quote from: J.A.F._Doorhof on April  6, 2017, 21:06:35
Het is een beetje een aparte regel.
We worden nu gedwongen om PER site een x bedrag PER dag te betalen voor een google certificaat.
Heb je dit niet dan zorgen ze er dus voor dat je een icoon in beeld krijgt van onveilig....

Een "beetje" geldklopperij.
We hebben een flink aantal sites en dit loopt toch wel in de papieren op deze manier, maar we zullen maar mee gaan.
Het voelt alleen een beetje als de kopieer belasting, heb je een kopieer apparaat dan MOET je elk jaar een "boete" betalen ook al kopieer je nooit wat van een ander. het jammere is dat ze doen voorkomen alsof volledig veilige sites nu ineens onveilig zijn en dus word eigenlijk het mes op je keel gezet. Kwalijke zaak maar goed nogmaals de overheid houd het niet tegen en we willen natuurlijk geen "gekke ideeen" aan mensen geven, dus zijn we ermee bezig.

Om wat voor certificaat gaat dit dan?

Onderstaande werkt ook prima. Je hoeft ook niet perce een Norton te hebben, want de certificaten doen hetzelfde.

Quote from: Raymond187 on March 17, 2017, 09:54:06
De inlog pagina zou zeker secure moeten zijn. Komodo certificaat kost amper wat.

Via onze provider kregen we aanbod van ik dacht 0.10 per dag, telt toch lekker op voor 10-15 domains.

Toch opvallend dat er mensen een half blog-artikel lezen en meteen beginnen te roepen voor HTTPS op een website.

Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen? Zorg gewoon dat jouw paswoord hier uniek is (dus dat je 't op geen enkele andere site gebruikt) of je 'n password manager gebruikt. (die je paswoorden voor jou genereert en opslaat, zodat je 't op verschillende devices kan gebruiken)

Just my 2 cents.

Die 10 cent per dag voor 'n security certificaat is trouwens wel serieus bij de haren getrokken: bij thawte heb je voor $199 een certificaat bij een van de leading authorities. (https://www.thawte.com/ssl/?tid=a_box_buyssl) Een alternatief als letsencrypt is ook een goed idee, enkel zijn die certificaten meestal maar voor 6 maanden geldig. (dus de admins moeten er telkens wel aan denken van het certificaat te vernieuwen)

Quote from: KurtDB on April 11, 2017, 21:20:06
Toch opvallend dat er mensen een half blog-artikel lezen en meteen beginnen te roepen voor HTTPS op een website.

Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen? Zorg gewoon dat jouw paswoord hier uniek is (dus dat je 't op geen enkele andere site gebruikt) of je 'n password manager gebruikt. (die je paswoorden voor jou genereert en opslaat, zodat je 't op verschillende devices kan gebruiken)

Just my 2 cents.

Die 10 cent per dag voor 'n security certificaat is trouwens wel serieus bij de haren getrokken: bij thawte heb je voor $199 een certificaat bij een van de leading authorities. (https://www.thawte.com/ssl/?tid=a_box_buyssl) Een alternatief als letsencrypt is ook een goed idee, enkel zijn die certificaten meestal maar voor 6 maanden geldig. (dus de admins moeten er telkens wel aan denken van het certificaat te vernieuwen)

Je kan denken wat je wil, feit is dat het verplicht is,klaar uit.

https://www.internettoday.nl/sslcertificaten/wetgeving

Quote from: KurtDB on April 11, 2017, 21:20:06
Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Ik ben het met je eens dat het verwaarlozen van de forum software zeker ook een security risico introduceert maar volgens mij moeten beide gewoon in orde zijn.

Quote from: KurtDB on April 11, 2017, 21:20:06
Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen?

De admin's loggen toch ook aan op de site? Als je hun password te pakken heb hoef je verder weinig te hacken. Heb je gelijk God mode.

Ik ga dit draadje ff een schop geven. Ik begrijp niet waarom dit nog niet geregeld is.

Inlog gegevens moet je beschermen. Je mag er niet vanuit gaan dat gebruikers een super goed uniek password alleen voor dit forum gebruiken.

Fixen die hap. Bescherm je gebruikers aub.

Als hier hulp bij nodig is wil ik best helpen, ben (oa) systeembeheerder.


Sent from my iPad using Tapatalk

Quote from: activ on December 23, 2017, 08:39:29
Als hier hulp bij nodig is wil ik best helpen, ben (oa) systeembeheerder.


Sent from my iPad using Tapatalk

Dan kan jij de reddende engel zijn hij vraagt in het "HELP HET FORUM !!!!!" (https://r.tapatalk.com/shareLink?url=http%3A%2F%2Fwww%2Ehtforum%2Enl%2Fyabbse%2Findex%2Ephp%3Ftopic%3D166171%2E0&share_tid=166171&share_fid=6660&share_type=t) topic al een poosje om hulp.

Quote from: GPO on December 22, 2017, 23:35:55
Ik ga dit draadje ff een schop geven. Ik begrijp niet waarom dit nog niet geregeld is.

Inlog gegevens moet je beschermen. Je mag er niet vanuit gaan dat gebruikers een super goed uniek password alleen voor dit forum gebruiken.

Fixen die hap. Bescherm je gebruikers aub.

Jesus f-ing christ  :nervous: :o :hmmm: :wow:

Ik vind die opmerking vele male kwalijker dan het feit dat er geen HTTPS gebruikt wordt.  Dit is PRECIES de reden waarom er zó veel verkeerd gaat. Waarom er zó veel informatie lekt en waarom er zó veel geklaagd wordt over onveiligheid.

De techniek is vaak niet het probleem. De persoon is het probleem. Mensen zouden opgevoed moeten worden in hoe ze veilig gebruik maken van het internet. En wachtwoordgebruik is er daar één van. Neem een degelijke password manager en een goed uniek wachtwoord per site is een vanzelfsprekendheid.

Sowieso is https in de beschreven situatie geen bescherming, maar een lapmiddel of symptoombestrijding. De kans dat in dit geval verkeer wordt onderschept en de user/pass combinatie wordt opgeslagen is inderdaad aanwezig, maar de vraag is hoe groot*. De kans dat een dubbel gebruikte user/pass combinatie via een andere route wordt buitgemaakt is vele male groter.

Dan on-topic; ik weet niet op wat voor omgeving HTForum draait (als het shared of managed hosting is kan het anders zijn), maar een Let's Encrypt certificaat is gewoon gratis (dat is géén self-signed certificaat(!)). Wel geldt dat die certificaten maar 2 maanden houdbaar zijn en daarna gerefreshed moeten worden. Voor velen (en bijvoorbeeld deze situatie) is dat omslachtig. Maar de gedachte er achter is dat er daarmee nooit ongebruikte (en dus misbruikbare) certificaten zijn.


_{* vanuit een ziggo lijn zie ik dat het verkeer via ziggo en vervolgens de ams-ix naar astralus en vervolgens naar PCExtreme loopt. In die keten is de enige plek waar ik zou verwachten dat non-https verkeer zou kunnen worden afgeluisterd bij astralus en pcextreme. Hierin ga ik er van uit dat er netjes gebruikt wordt gemaakt van vlans en dus netwerken worden gescheiden zodat individuele omgevingen géén verkeer van andere omgevingen krijgen (en dus afluisteren onmogelijk is). Alleen als het om een "hosted omgeving" gaat bij PCExtreme zou de kans aanwezig kunnen zijn dat een kwaadwillende het verkeer kan onderscheppen. In de rest van de keten (ziggo, ams-ix) acht ik de kans nihil dat die hops compromised zijn (als dat zo is, is je htforum account het laatste waar je je druk over moet maken ;) ).}

een password manager is ruk. heb je er een die cloud based is, ben je met een account al je accounts kwijt.
heb je er een lokaal, dan ben je met een herinstallatie of op andere devices de Sjaak met xxlsdd0*--)(7ssdddd als password, alsof je dat gaat onthouden of opzoeken.
daarnaast gaat de helft van de password managers over de zeik omdat ze niet begrijpen dat het net door hen voorgestelde password niet alleen voor de inschrijf pagina geldt maar ook voor de login
of je zit weer eens op de site die geen special characters zoals @#$%^&*() toelaat........

password managers zijn WAARDELOOS

We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

Quote from: Raphie on December 23, 2017, 11:31:51
password managers zijn WAARDELOOS

Het gebruik van één overkoepelend password is nóg waardelozer :D

Het is kiezen tussen twee kwaden, maar dan kies ik toch echt voor de kwade waarbij ik niet de kans loop dat persoonlijke informatie op straat kan komen te liggen.

Overigens verbeteren de passwordmanagers nog steeds. De situaties (hoewel het voorbeelden zijn) die je beschrijft kunnen al deels ondervangen worden.  Zo heeft 1Password zowel cloud als local storage, waarbij ook geldt dat als je een cloud-vault hebt, deze local cached is en hij die informatie synct (en niet altijd puur uit de cloud haalt). Ofwel, zonder internet (of als 1password over de kop is gegaan) werkt de local variant nog (waar je ook kunt exporteren).

Het (on)begrip van de manager om de sitestructuur te begrijpen is inderdaad een dingetje. Ik merk echter dat als je bij het opslaan gewoonweg aangeeft dat het voor het gehele domein geldt, je al een heel eind bent. En wat betreft de special characters; dat is inderdaad erg irritant (want je moet de settings van je pw-manager in de popup die direct beschikbaar is, wijzigen), al ligt dat met name bij de betreffende site en niet per se bij de passwordmanager.

Persoonlijk ben ik erg te spreken over 1password (die ik nu gebruik) al was ik ook goed te spreken over LastPass. Uiteindelijke reden voor 1password is omdat de meerderheid binnen mn bedrijf 1password had :)

Quote from: J.A.F._Doorhof on December 23, 2017, 11:36:14
We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Ik had er niet eens bij stilgestaan dat de forum software hier niet transparant mee om zou gaan. Als die inderdaad al niet met https kan omgaan gaat het een hoop tijd kosten (alternatief zou eventueel dan kunnen zijn om een nginx proxy er voor te hangen die https regelt, en vervolgens alles alleen over local-only http met apache (en dus php) praat).

Quote from: J.A.F._Doorhof on December 23, 2017, 11:36:14

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Dat is ook de reden dat wij de boel in-house zijn gaan trekken. Prijzen zijn hoog (zeker als je naar managed vps-en gaat) en hoe groter de partij, hoe langer de lijntjes worden. Wij kozen er voor om meerdere vps-providers te hebben en in het geval van problemen dan maar intern te verhuizen. Dat is meermalen al sneller gebleken. Ze voldoen nog steeds aan hun SLA. Maar een connectivity uptime van 99.99% is 1 uur downtime per jaar, en een system-uptime van 99.95% is 4:30uur.

Quote from: J.A.F._Doorhof on December 23, 2017, 11:36:14
Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

Helemaal mee eens!

Volgens de letter van de wet moet het, maar de soep wordt niet zo heet gegeten als in deze thread wordt geclaimd.

Quote from: J.A.F._Doorhof on December 23, 2017, 11:36:14
We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

Ik heb geen ervaring met de forum software, maar wel met beheer van servers en database op zowel Windows als Linux. Als ik kan helpen moet je maar even een PM of een email sturen, dat geld zowel voor het https verhaal als het overige beheer. Vergoeding gaan we wel uit komen.
Even specifiek voor het https: Wellicht kan het buiten het forum om geregeld worden zodat niet de hele boel omgebouwd moet worden, maar om daar iets over te kunnen zeggen het ik veel meer info nodig over de infra.

Ik sta zeer zeker open voor hulp daarin.

Over.het ombouwen.
Als het alleen een licentie was hadden we het al. Het kost rond de 100.00 per jaar dacht ik.

Het probleem waar we tegen aanlopen is dat er veel verwijzingen en directories zijn in de forum software. Die moeten dan allemaal naar HTTPS omgezet worden. Jeroen wist exact waar alles zat. Ik weer denk ik 25% ;)

Maar aub mail me graag zelfs

Hebben we inmiddels https al opgelost ?
Ik zie wel dat de site een verwijzing naar https gedaan wordt maar dat deze niet secure is.

Zover ik weet draait alles op https
Zou niet weten wat er mis zou zijn bij het certificaat. Misschien een Google ding ?

Zowel onder chrome als firefox werkt het niet.
Heeft niets met google te maken.
Zal straks op mn werk ook even checken.

Kingpin, jouw avatar is gehost op een niet-https server zo te zien. Aangezien die is ingebed in de pagina's van dit forum is het nooit meer geheel https volgens mij.

Dat was het inderdaad.

Bedankt, heb het aangepast werkt !
Zou dit toch even meenemen in je settings van het board ...

In welke vorm ?
Elke link van buiten niet toestaan
Sponsoren mogen dus dan geen aanbiedingen posten
Jullie mogen geen foto's meer ergens anders hosten
Je mag niet meer linken naar artikelen etc etc.

Het hele https is op een forum erg moeilijk helemaal dicht te krijgen.

Quote from: J.A.F._Doorhof on April  6, 2020, 11:45:23
In welke vorm ?
Elke link van buiten niet toestaan
Sponsoren mogen dus dan geen aanbiedingen posten
Jullie mogen geen foto's meer ergens anders hosten
Je mag niet meer linken naar artikelen etc etc.

Het hele https is op een forum erg moeilijk helemaal dicht te krijgen.

Alleen links naar https://... toestaan? Zo heeft Kingpin het toch ook opgelost?

correct, maar niet iedereen heeft https
daarnaast is het hele certificaat gebeuren ook al weer achterhaalt

Quote from: roland p on April  6, 2020, 11:51:11
Alleen links naar https://... toestaan? Zo heeft Kingpin het toch ook opgelost?

Nee, alleen images uploaden naar de htforum site.
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.

Quote from: squadra on April  6, 2020, 14:18:59
Nee, alleen images uploaden naar de htforum site.
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.

Ja da's waar ook, tracking ellende etc.

Quote from: squadra on April  6, 2020, 14:18:59
Er wordt bij het ophalen vh plaatje informatie meegestuurd van de browser naar de site waar het plaatje gehost wordt.

Niet als je het directe plaatje (jpg, png extensie) link hebt.

Quote from: J.A.F._Doorhof on April  6, 2020, 13:49:22
daarnaast is het hele certificaat gebeuren ook al weer achterhaalt

Vertel ?

Quote from: Kingpin on April  6, 2020, 17:27:40
Niet als je het directe plaatje (jpg, png extensie) link hebt.

Dat waag ik te betwijfelen, daarmee zou de server gelimiteerd worden mbt beschikbare headers om het juiste bericht op te halen of te genereren.
Het lijkt me niet dat een browser de aanname zou mogen doen dat niet alle headers nodig zijn.
Ik zal het eens onderzoeken als ik genoeg tijd heb (morgen dus :) )

Quote from: squadra on April  6, 2020, 17:58:51
Dat waag ik te betwijfelen, daarmee zou de server gelimiteerd worden mbt beschikbare headers om het juiste bericht op te halen of te genereren.
Het lijkt me niet dat een browser de aanname zou mogen doen dat niet alle headers nodig zijn.
Ik zal het eens onderzoeken als ik genoeg tijd heb (morgen dus :) )

Een 'direct link' naar het externe plaatje zou niets van doen moeten hebben met de 'header info' van de externe site. Immers er wordt glinkt naar de jpg,png whatever en niet naar een html,php bestand waar het plaatje instaat.

Quote from: Kingpin on April  6, 2020, 18:17:37
Een 'direct link' naar het externe plaatje zou niets van doen moeten hebben met de 'header info' van de externe site. Immers er wordt glinkt naar de jpg,png whatever en niet naar een html,php bestand waar het plaatje instaat.

Nee, er is geen regel die zegt dat het een bestand op een schijf moet zijn, het staat de server vrij om zelf een afbeelding te genereren of ergens vandaan te halen.
Zoals gezegd, morgen meer. Eerst hardlopen/slapen :)

Quote from: squadra on April  6, 2020, 18:25:18
Nee, er is geen regel die zegt dat het een bestand op een schijf moet zijn, het staat de server vrij om zelf een afbeelding te genereren of ergens vandaan te halen.

Als het bestand niet fysiek op schijf staat dan kan het alleen uit een database komen.
Bestanden, foto's in databases opslaan komt vanwege technische redenen weinig voor.
Maar stel dat dit wel het geval,is dan heb je idd met header info te maken om het plaatje uit de database te trekken.

Quote from: Kingpin on April  6, 2020, 18:31:30
Als het bestand niet fysiek op schijf staat dan kan het alleen uit een database komen.
Bestanden, foto's in databases opslaan komt vanwege technische redenen weinig voor.
Maar stel dat dit wel het geval,is dan heb je idd met header info te maken om het plaatje uit de database te trekken.

Het plaatje kan ook dynamisch gegenereerd worden.
De client weet niet welke headers de server gebruikt, dus zal alle headers meesturen die normaal ook worden meegestuurd.
En als de server dan ook nog meegeeft dat de response (het plaatje) niet gecached mag worden, dan zal de client zich daar meestal netjes aan houden en iedere keer dat het getoond moet worden een nieuw request naar de server sturen. Nuttige info voor tracking.

Ik heb voor de test even een bin aangemaakt op requestbin.net .
Daarin zie ik de hieronder getoonde headers meekomen.
De Get zelf wordt in dit lijstje niet getoond en ik heb IP adressen etc. verwijderd.

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:74.0) Gecko/20100101 Firefox/74.0
Connect-Time: 2
Cf-Ipcountry: NL
X-Forwarded-For: a.a.a.a, b.b.b.b
X-Forwarded-Port: 80
Cdn-Loop: cloudflare
Accept-Language: en-GB,en;q=0.5
Via: 1.1 vegur
Cf-Connecting-Ip: a.a.a.a
X-Forwarded-Proto: http
Connection: close
Total-Route-Time: 0
Accept: image/webp,*/*
X-Request-Id: 39d05ed4-e8a9-43dc-8f88-123a5ebd8dc6
Cookie: session=xxx
X-Request-Start: 1586248087029
Accept-Encoding: gzip
Cf-Visitor: {"scheme":"http"}
Host: requestbin.net
Dnt: 1
Cf-Ray: 58025f8c7df8c8cb-AMS

Leuk is dat SMF zelf ook een request doet bij het opslaan vh profiel.
Mogelijk om foutmeldingen (404 etc.) te vangen.
User-Agent: PHP/SMF
Connect-Time: 0
Cf-Ipcountry: NL
X-Forwarded-For: x.x.x.x,x .y.y.y.y
X-Forwarded-Port: 80
Cdn-Loop: cloudflare
Via: 1.1 vegur
Cf-Connecting-Ip: x.x.x.x
X-Forwarded-Proto: http
Connection: close
Total-Route-Time: 0
Host: requestbin.net
X-Request-Start: 1586246454456
Accept-Encoding: gzip
Cf-Visitor: {"scheme":"http"}
X-Request-Id: 460ff670-16b3-444b-906a-3f96aea079b7
Cf-Ray: 580237b23ce4bd8c-AMS

Quote from: Kingpin on April  6, 2020, 17:28:24
Vertel ?

Ik ben ook wel benieuwd waar Frank op doelt met dat ssl-certificaten ondertussen zijn achterhaald :)

Volgens mij was er al weer strijd omdat het schijnveiligheid opwekt. We hebben in ieder geval al onze sites op https .