Veilig inloggen?

Hier kan ik het alleen maar mee eens zijn!
Het valt me bij vrijwel elk forum op dat inloggen gewoon plain-text gaat. En ik ben vast niet de enige die regelmatig kan kiezen tussen "geen internet" of "onbeveiligd Wifi".

Ga voor de gein eens HTTP requests capturen en analyseren.

Freeaqingme schreef op woensdag 02 februari 2011 @ 19:25:
Nu dat t.net zo'n fijn sessie systeem heeft is het misschien een idee om ook een keer een SSL certificaat te fixen zodat er veilig ingelogd kan worden, en men bijvoorbeeld ook op publiek wifi veilig in HK kan posten & lezen.

Als je het vinkje "versleutel password" niet uitschakeld bij het inloggen dan is je password ook niet leesbaar over je http verbinding

Daarnaast zou je dan vervolgens al het T.net verkeer via SSL moeten doen aangezien je sessie_id altijd plaintext over de lijn gaat, zodra iemand die heeft kan hij bijna alles doen met jouw account.

Zet een VPN op en log op je laptop of mobieltje in op je VPN.

Verbazingwekkend hoe goed vermeende tweakers nadenken over "het probleem" en met welke oplossingen ze vervolgens komen, namelijk dat iemand anders het maar voor ze moet regelen terwijl ze zelf ook e.e.a. kunnen doen.

Overigens is het wel een interessante kwestie hoor, ik ben op zich wel benieuwd naar hoeveel extra CPU cycles T.net nodig zou hebben als een aanzienlijk deel de site via HTTPS zou gaan benaderen.

[ Voor 26% gewijzigd door Verwijderd op 02-02-2011 19:57 ]

Verwijderd schreef op woensdag 02 februari 2011 @ 19:56:
Zet een VPN op en log op je laptop of mobieltje in op je VPN.

Verbazingwekkend hoe goed vermeende tweakers nadenken over "het probleem" en met welke oplossingen ze vervolgens komen, namelijk dat iemand anders het maar voor ze moet regelen terwijl ze zelf ook e.e.a. kunnen doen.

Overigens is het wel een interessante kwestie hoor, ik ben op zich wel benieuwd naar hoeveel extra CPU cycles T.net nodig zou hebben als een aanzienlijk deel de site via HTTPS zou gaan benaderen.

Tsja, er wordt eenmalig door één partij één certificaat aangeschaft en in een folder op de server gedropt, óf je verwacht van álle bezoekers die een veilige verbinding willen dat ze zelf gaan lopen hobbyen.

@Cheatah:
Ik weet niet wat een SSL-certificaat kost. Maar om hier een bak aan te hebben 24/7 omdat ik soms op een unsecure-wifi hang, vind ik net wat te ver gaan. Daarnaast trekt m'n upload dat voor geen meter van de verbinding thuis.

Leuk idee, maar de uitvoerbaarheid ligt al snel bij de site, en niet bij de users als het gaat om dit onderwerp

Edit: Als ik kijk naar de site woningnet.nl dan word ik af en toe gewoon geirriteerd omdat die dodo's telkens switchen van https naar http, en dan begint firefox te stuiteren. Kan me voorstellen dat dat met links naar andere content (youtube, of smilies, usericons) dat zelfde gezeik gaat geven.

[ Voor 29% gewijzigd door RaZ op 02-02-2011 20:06 ]

Het certificaat is niet zo duur, maar zoals ik al zei ben ik zeer benieuwd naar de performance hit. En ik vind het buitengewoon interessant om te zien hoe men hierover denkt, vandaar dat ik mensen een klein beetje uit de tent lok

Freeaqingme schreef op woensdag 02 februari 2011 @ 20:10:
Als performance een probleem zou zijn lijkt me dit een leuke added feature voor de betalende gebruikers. Vraag is dan alleen wel hoe je dat /voor/ het inloggen bepaalt

T.net biedt al de mogelijkheid om je login encrypted te sturen (als je javascript aan hebt staan). Dus je login kan al niet (zo snel) onderscherpt worden. Daarna kan je gewoon richting https gaan.

Verwijderd schreef op woensdag 02 februari 2011 @ 19:56:
Zet een VPN op en log op je laptop of mobieltje in op je VPN.

Tenzij je die VPN-verbinding maakt naar het datacentrum van Tweakers, blijft het probleem toch nog gewoon bestaan? Wel niet via Wifi, maar afluisteren is nog steeds mogelijk.

RemcoDelft schreef op woensdag 02 februari 2011 @ 20:34:

Tenzij je die VPN-verbinding maakt naar het datacentrum van Tweakers, blijft het probleem toch nog gewoon bestaan? Wel niet via Wifi, maar afluisteren is nog steeds mogelijk.

Al het verkeer naar een VPN tunnel is sowieso encrypted, dus je moet natuurlijk er natuurlijk wel een hebben die je vertrouwt. Vanaf de VPN tunnel naar Tweakers.net is net zo veilig/onveilig als de verbinding thuis of op kantoor.

Verwijderd schreef op woensdag 02 februari 2011 @ 20:06:
Het certificaat is niet zo duur, maar zoals ik al zei ben ik zeer benieuwd naar de performance hit. En ik vind het buitengewoon interessant om te zien hoe men hierover denkt, vandaar dat ik mensen een klein beetje uit de tent lok

Behalve een eventuele performance hit zit je ook nog met usericons en andere plaatjes van externe bronnen, waardoor je dus mixed content krijgt. In Firefox kan je een dergelijke melding permanent akkoord geven, maar in IE geeft dat nogal veel meldingen (al is dat vast wel ergens in te stellen).

Orion84 schreef op woensdag 02 februari 2011 @ 20:41:

Behalve een eventuele performance hit zit je ook nog met usericons en andere plaatjes van externe bronnen, waardoor je dus mixed content krijgt. In Firefox kan je een dergelijke melding permanent akkoord geven, maar in IE geeft dat nogal veel meldingen (al is dat vast wel ergens in te stellen).

Goed punt, daar had ik zelf nog niet eens aan gedacht. Best een interessante kwestie eigenlijk.

RemcoDelft schreef op woensdag 02 februari 2011 @ 20:34:

Tenzij je die VPN-verbinding maakt naar het datacentrum van Tweakers, blijft het probleem toch nog gewoon bestaan? Wel niet via Wifi, maar afluisteren is nog steeds mogelijk.

Ja, tussen het vertrouwde punt en T.net wel, maar je hebt dan in elk geval de mogelijkheid vanuit een niet-vertrouwde locatie te verbinden met een wel-vertrouwde locatie.

Freeaqingme schreef:
Je zou bij plaatjes van externe bronnen van gebruikers kunnen vragen 2 url's op te geven, eentje voor ssl content, en een voor nonssl content. Of nog beter, alle plaatjes proxyen en cachen (door t.net dus)

Ik hoop dat je dat niet serieus meent

[ Voor 35% gewijzigd door Verwijderd op 02-02-2011 20:55 ]

Hmm, wat zouden jullie denken van géén externe usericons in het geval van een SSL verbinding?

[ Voor 3% gewijzigd door Barleone op 02-02-2011 21:49 ]

Wij vinden onszelf niet belangrijk genoeg om alle content over ssl willen te versturen, verder kom je ook, zoals hierboven al aangegeven wordt, in de clinch met sommige browser met betrekking tot mixed content. Als je het eerste stukje van de verbinding waar je zit niet vertrouwd kun je beter een vpn-tunnel ergens aanvragen, wij gaan er niet aan beginnen