HTTP ipv HTTPS? Is HTforum nog veilig?

[Raphie]

Sterker nog, https bepaalt ook je SEO ranking.
Is een ijverige handel in certificaten, voor de meeste providers toch weer €25,00 per jaar extra per klant. De meeste providers ondersteunen de gratis certificaten niet ( lees, willen ze niet plaatsen) dus je ligt idd met je kloten op het blok. Bij sommige providers is hierdoor het certificaat per jaar duurder dan het hostingpakket zelf

[Raymond187]

Sterker nog, https bepaalt ook je SEO ranking.
Is een ijverige handel in certificaten, voor de meeste providers toch weer €25,00 per jaar extra per klant. De meeste providers ondersteunen de gratis certificaten niet ( lees, willen ze niet plaatsen) dus je ligt idd met je kloten op het blok. Bij sommige providers is hierdoor het certificaat per jaar duurder dan het hostingpakket zelf

Dat is vanaf begin dit jaar idd. Wij hebben een webshop, en zijn ook meteen over gegaan op volledig HTTPS.

Het is een beetje een aparte regel.
We worden nu gedwongen om PER site een x bedrag PER dag te betalen voor een google certificaat.
Heb je dit niet dan zorgen ze er dus voor dat je een icoon in beeld krijgt van onveilig....

Een "beetje" geldklopperij.
We hebben een flink aantal sites en dit loopt toch wel in de papieren op deze manier, maar we zullen maar mee gaan.
Het voelt alleen een beetje als de kopieer belasting, heb je een kopieer apparaat dan MOET je elk jaar een "boete" betalen ook al kopieer je nooit wat van een ander. het jammere is dat ze doen voorkomen alsof volledig veilige sites nu ineens onveilig zijn en dus word eigenlijk het mes op je keel gezet. Kwalijke zaak maar goed nogmaals de overheid houd het niet tegen en we willen natuurlijk geen "gekke ideeen" aan mensen geven, dus zijn we ermee bezig.

Om wat voor certificaat gaat dit dan?

Onderstaande werkt ook prima. Je hoeft ook niet perce een Norton te hebben, want de certificaten doen hetzelfde.

De inlog pagina zou zeker secure moeten zijn. Komodo certificaat kost amper wat.

[J.A.F._Doorhof]

Via onze provider kregen we aanbod van ik dacht 0.10 per dag, telt toch lekker op voor 10-15 domains.

[KurtDB]

Toch opvallend dat er mensen een half blog-artikel lezen en meteen beginnen te roepen voor HTTPS op een website.

Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen? Zorg gewoon dat jouw paswoord hier uniek is (dus dat je 't op geen enkele andere site gebruikt) of je 'n password manager gebruikt. (die je paswoorden voor jou genereert en opslaat, zodat je 't op verschillende devices kan gebruiken)

Just my 2 cents.

Die 10 cent per dag voor 'n security certificaat is trouwens wel serieus bij de haren getrokken: bij thawte heb je voor $199 een certificaat bij een van de leading authorities. (https://www.thawte.com/ssl/?tid=a_box_buyssl) Een alternatief als letsencrypt is ook een goed idee, enkel zijn die certificaten meestal maar voor 6 maanden geldig. (dus de admins moeten er telkens wel aan denken van het certificaat te vernieuwen)

[Kingpin]

Toch opvallend dat er mensen een half blog-artikel lezen en meteen beginnen te roepen voor HTTPS op een website.

Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen? Zorg gewoon dat jouw paswoord hier uniek is (dus dat je 't op geen enkele andere site gebruikt) of je 'n password manager gebruikt. (die je paswoorden voor jou genereert en opslaat, zodat je 't op verschillende devices kan gebruiken)

Just my 2 cents.

Die 10 cent per dag voor 'n security certificaat is trouwens wel serieus bij de haren getrokken: bij thawte heb je voor $199 een certificaat bij een van de leading authorities. (https://www.thawte.com/ssl/?tid=a_box_buyssl) Een alternatief als letsencrypt is ook een goed idee, enkel zijn die certificaten meestal maar voor 6 maanden geldig. (dus de admins moeten er telkens wel aan denken van het certificaat te vernieuwen)

Je kan denken wat je wil, feit is dat het verplicht is,klaar uit.

https://www.internettoday.nl/sslcertificaten/wetgeving

[Remi]

Ik denk dat het up to date houden van de forumversie en het opvolgen van eventuele security issues in geïnstalleerde plugins meer gaat toevoegen dan een security certificaat. Een certificaat gaat je immers beschermen tegen een man-in-the-middle-attack of phishing, maar niet tegen aanvallen op het forum zelf. (waarbij ze access kunnen krijgen tot de volledige database ipv enkel jouw paswoord)

Ik ben het met je eens dat het verwaarlozen van de forum software zeker ook een security risico introduceert maar volgens mij moeten beide gewoon in orde zijn.

Wat voor nut heeft 't voor een doorsnee hacker/script kiddie om jouw paswoord op deze site te pakken te krijgen?

De admin's loggen toch ook aan op de site? Als je hun password te pakken heb hoef je verder weinig te hacken. Heb je gelijk God mode.

[GPO]

Ik ga dit draadje ff een schop geven. Ik begrijp niet waarom dit nog niet geregeld is.

Inlog gegevens moet je beschermen. Je mag er niet vanuit gaan dat gebruikers een super goed uniek password alleen voor dit forum gebruiken.

Fixen die hap. Bescherm je gebruikers aub.

[activ]

Als hier hulp bij nodig is wil ik best helpen, ben (oa) systeembeheerder.


Sent from my iPad using Tapatalk

[H B]

Als hier hulp bij nodig is wil ik best helpen, ben (oa) systeembeheerder.


Sent from my iPad using Tapatalk

Dan kan jij de reddende engel zijn hij vraagt in het "HELP HET FORUM !!!!!" topic al een poosje om hulp.

[MaxxMark]

Ik ga dit draadje ff een schop geven. Ik begrijp niet waarom dit nog niet geregeld is.

Inlog gegevens moet je beschermen. Je mag er niet vanuit gaan dat gebruikers een super goed uniek password alleen voor dit forum gebruiken.

Fixen die hap. Bescherm je gebruikers aub.

Jesus f-ing christ 

Ik vind die opmerking vele male kwalijker dan het feit dat er geen HTTPS gebruikt wordt.  Dit is PRECIES de reden waarom er zó veel verkeerd gaat. Waarom er zó veel informatie lekt en waarom er zó veel geklaagd wordt over onveiligheid.

De techniek is vaak niet het probleem. De persoon is het probleem. Mensen zouden opgevoed moeten worden in hoe ze veilig gebruik maken van het internet. En wachtwoordgebruik is er daar één van. Neem een degelijke password manager en een goed uniek wachtwoord per site is een vanzelfsprekendheid.

Sowieso is https in de beschreven situatie geen bescherming, maar een lapmiddel of symptoombestrijding. De kans dat in dit geval verkeer wordt onderschept en de user/pass combinatie wordt opgeslagen is inderdaad aanwezig, maar de vraag is hoe groot*. De kans dat een dubbel gebruikte user/pass combinatie via een andere route wordt buitgemaakt is vele male groter.

Dan on-topic; ik weet niet op wat voor omgeving HTForum draait (als het shared of managed hosting is kan het anders zijn), maar een Let's Encrypt certificaat is gewoon gratis (dat is géén self-signed certificaat(!)). Wel geldt dat die certificaten maar 2 maanden houdbaar zijn en daarna gerefreshed moeten worden. Voor velen (en bijvoorbeeld deze situatie) is dat omslachtig. Maar de gedachte er achter is dat er daarmee nooit ongebruikte (en dus misbruikbare) certificaten zijn.


_{* vanuit een ziggo lijn zie ik dat het verkeer via ziggo en vervolgens de ams-ix naar astralus en vervolgens naar PCExtreme loopt. In die keten is de enige plek waar ik zou verwachten dat non-https verkeer zou kunnen worden afgeluisterd bij astralus en pcextreme. Hierin ga ik er van uit dat er netjes gebruikt wordt gemaakt van vlans en dus netwerken worden gescheiden zodat individuele omgevingen géén verkeer van andere omgevingen krijgen (en dus afluisteren onmogelijk is). Alleen als het om een "hosted omgeving" gaat bij PCExtreme zou de kans aanwezig kunnen zijn dat een kwaadwillende het verkeer kan onderscheppen. In de rest van de keten (ziggo, ams-ix) acht ik de kans nihil dat die hops compromised zijn (als dat zo is, is je htforum account het laatste waar je je druk over moet maken ).}

[Raphie]

een password manager is ruk. heb je er een die cloud based is, ben je met een account al je accounts kwijt.
heb je er een lokaal, dan ben je met een herinstallatie of op andere devices de Sjaak met xxlsdd0*--)(7ssdddd als password, alsof je dat gaat onthouden of opzoeken.
daarnaast gaat de helft van de password managers over de zeik omdat ze niet begrijpen dat het net door hen voorgestelde password niet alleen voor de inschrijf pagina geldt maar ook voor de login
of je zit weer eens op de site die geen special characters zoals @#$%^&*() toelaat........

password managers zijn WAARDELOOS

[J.A.F._Doorhof]

We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

[MaxxMark]

password managers zijn WAARDELOOS

Het gebruik van één overkoepelend password is nóg waardelozer

Het is kiezen tussen twee kwaden, maar dan kies ik toch echt voor de kwade waarbij ik niet de kans loop dat persoonlijke informatie op straat kan komen te liggen.

Overigens verbeteren de passwordmanagers nog steeds. De situaties (hoewel het voorbeelden zijn) die je beschrijft kunnen al deels ondervangen worden.  Zo heeft 1Password zowel cloud als local storage, waarbij ook geldt dat als je een cloud-vault hebt, deze local cached is en hij die informatie synct (en niet altijd puur uit de cloud haalt). Ofwel, zonder internet (of als 1password over de kop is gegaan) werkt de local variant nog (waar je ook kunt exporteren).

Het (on)begrip van de manager om de sitestructuur te begrijpen is inderdaad een dingetje. Ik merk echter dat als je bij het opslaan gewoonweg aangeeft dat het voor het gehele domein geldt, je al een heel eind bent. En wat betreft de special characters; dat is inderdaad erg irritant (want je moet de settings van je pw-manager in de popup die direct beschikbaar is, wijzigen), al ligt dat met name bij de betreffende site en niet per se bij de passwordmanager.

Persoonlijk ben ik erg te spreken over 1password (die ik nu gebruik) al was ik ook goed te spreken over LastPass. Uiteindelijke reden voor 1password is omdat de meerderheid binnen mn bedrijf 1password had

[MaxxMark]

We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Ik had er niet eens bij stilgestaan dat de forum software hier niet transparant mee om zou gaan. Als die inderdaad al niet met https kan omgaan gaat het een hoop tijd kosten (alternatief zou eventueel dan kunnen zijn om een nginx proxy er voor te hangen die https regelt, en vervolgens alles alleen over local-only http met apache (en dus php) praat).

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Dat is ook de reden dat wij de boel in-house zijn gaan trekken. Prijzen zijn hoog (zeker als je naar managed vps-en gaat) en hoe groter de partij, hoe langer de lijntjes worden. Wij kozen er voor om meerdere vps-providers te hebben en in het geval van problemen dan maar intern te verhuizen. Dat is meermalen al sneller gebleken. Ze voldoen nog steeds aan hun SLA. Maar een connectivity uptime van 99.99% is 1 uur downtime per jaar, en een system-uptime van 99.95% is 4:30uur.

Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

Helemaal mee eens!

Volgens de letter van de wet moet het, maar de soep wordt niet zo heet gegeten als in deze thread wordt geclaimd.

[activ]

We draaien hosted inderdaad
En het is niet even een licentie installeren.
Het is elke link aanpassen, directories, verwijzingen etc.
Daarnaast wat edits in de forum software en server zelf.

Kosten ..... Zeer behoorlijk tenzij ik een nieuwe technische man kan viden die normale bedragen rekent. We betalen nu feitelijk de hoofdprijs voor support. En dit soort dingen via de hoster laten lopen is erg prijzig.

Daarnaast is zoals aangegeven HTTPS een "lapmiddel" het is opgelegd vanuit google voor de support van Google maar als je er naar kijkt is het absolute schijnveiligheid. Het is beter zonder enige twijfel.

Maar het is net zoiets als zeggen. Als je een rode jas aan hebt hoef je niet meer op te letten als je over de zebra loopt.

Ik heb geen ervaring met de forum software, maar wel met beheer van servers en database op zowel Windows als Linux. Als ik kan helpen moet je maar even een PM of een email sturen, dat geld zowel voor het https verhaal als het overige beheer. Vergoeding gaan we wel uit komen.
Even specifiek voor het https: Wellicht kan het buiten het forum om geregeld worden zodat niet de hele boel omgebouwd moet worden, maar om daar iets over te kunnen zeggen het ik veel meer info nodig over de infra.

[J.A.F._Doorhof]

Ik sta zeer zeker open voor hulp daarin.

Over.het ombouwen.
Als het alleen een licentie was hadden we het al. Het kost rond de 100.00 per jaar dacht ik.

Het probleem waar we tegen aanlopen is dat er veel verwijzingen en directories zijn in de forum software. Die moeten dan allemaal naar HTTPS omgezet worden. Jeroen wist exact waar alles zat. Ik weer denk ik 25%

Maar aub mail me graag zelfs

[Kingpin]

Hebben we inmiddels https al opgelost ?
Ik zie wel dat de site een verwijzing naar https gedaan wordt maar dat deze niet secure is.

[J.A.F._Doorhof]

Zover ik weet draait alles op https
Zou niet weten wat er mis zou zijn bij het certificaat. Misschien een Google ding ?

[Kingpin]

Zowel onder chrome als firefox werkt het niet.
Heeft niets met google te maken.
Zal straks op mn werk ook even checken.

[AudioEnZo]

Kingpin, jouw avatar is gehost op een niet-https server zo te zien. Aangezien die is ingebed in de pagina's van dit forum is het nooit meer geheel https volgens mij.

[J.A.F._Doorhof]

Dat was het inderdaad.

[Kingpin]

Bedankt, heb het aangepast werkt !
Zou dit toch even meenemen in je settings van het board ...

[J.A.F._Doorhof]

In welke vorm ?
Elke link van buiten niet toestaan
Sponsoren mogen dus dan geen aanbiedingen posten
Jullie mogen geen foto's meer ergens anders hosten
Je mag niet meer linken naar artikelen etc etc.

Het hele https is op een forum erg moeilijk helemaal dicht te krijgen.

[roland p]

In welke vorm ?
Elke link van buiten niet toestaan
Sponsoren mogen dus dan geen aanbiedingen posten
Jullie mogen geen foto's meer ergens anders hosten
Je mag niet meer linken naar artikelen etc etc.

Het hele https is op een forum erg moeilijk helemaal dicht te krijgen.

Alleen links naar https://... toestaan? Zo heeft Kingpin het toch ook opgelost?

[J.A.F._Doorhof]

correct, maar niet iedereen heeft https
daarnaast is het hele certificaat gebeuren ook al weer achterhaalt