Toon posts:

tweakers SSL

Pagina: 1
Acties:

dinsdag 13 september 2011 22:04

Acties:
  • 0 Henk 'm!
  • Phalox
  • Registratie: Oktober 2006
  • Laatst online: 27-09 11:31

Phalox

Solar Powerrrd

Topicstarter
Naar aanleiding van het nieuwsbericht vandaag:

Een wachtwoord is één ding, en dan denken mensen dat hun account veilig is. Maar session hijacking is ook op Tweakers geen enkel probleem.
Aangezien je voor een heel jaar ingelogd kan blijven, zal diezelfde cookie die de sessie identificeert bij elke page load meegestuurd worden.

SSL encryptie is mogelijk, maar wordt nergens geforceerd! Misschien is dat iets wat jullie zelf niet willen, maar ik zie ook nergens een optie bij mijn profiel om specifiek voor mijn account SSL te forcen.
Op deze schaal (ik doe zelf enkel web development voor kleinere organisaties) kan alle verkeer op SSL wel wat meer load vergen.

Mis ik iets?

dinsdag 13 september 2011 22:13

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

In de eerste plaats kan je de veiligheid van je sessie verhogen door deze aan IP te koppelen.

Het klopt dat we geen site-wide https aanbieden (sinds kort wel voor alle pagina's onder my.tnet), en dat heeft meerdere redenen: niet alleen vergt dat behoorlijke aanpassingen (je moet immers alles over https laten gaan, ook statische bestanden zoals plaatjes, scripts en stylesheets), maar het is voor sommige zaken (bijvoorbeeld banners) praktisch zelfs onmogelijk. Nu met alleen de my.tnet pagina's over https lopen we al tegen problemen aan.

Intentionally left blank

dinsdag 13 september 2011 22:42

Acties:
  • 0 Henk 'm!
  • Phalox
  • Registratie: Oktober 2006
  • Laatst online: 27-09 11:31

Phalox

Solar Powerrrd

Topicstarter
Dat kan ik enkel beamen. Daarom ook dat alle source files via relatieve paden geprogrammeerd moeten worden.

Als Belg zijnde (met ons 'fantastisch internet'), hebben we hier nog geen statisch IP. Ik zou niet graag hebben dat mijn buurman morgen op mijn account zit rond te surfen :-)
Daarbij loop je met je laptop rond op de campus van de universiteit, waar je vaak één gemeenschappelijk IP hebt. Dus op die manier lijkt het me ook geen geweldige oplossing.

Ik vond het vooral opmerkelijk hoezeer er onderzoek is gedaan naar de veiligheid van de wachtwoorden, terwijl iets als session hijacking schering en inslag is (en dat is een factor die afhankelijk is van - in de eerste plaats - de site zelf, en daarnaast van de user).

dinsdag 13 september 2011 22:50

Acties:
  • 0 Henk 'm!
  • crisp
  • Registratie: Februari 2000
  • Nu online

crisp

Devver

Pixelated

Relatieve paden gebruiken is weer lastig als je meerdere domeinen gebruikt zoals wij ;) Protocol-loze uri's is nog wel iets waar we naar willen kijken (en we op sommige plekken zelfs al hebben moeten toepassen).

Intentionally left blank

dinsdag 13 september 2011 22:58

Acties:
  • 0 Henk 'm!
  • Phalox
  • Registratie: Oktober 2006
  • Laatst online: 27-09 11:31

Phalox

Solar Powerrrd

Topicstarter
Nogmaals waar ja :-) Misschien kunnen simlinks dan helpen?
Maar op deze schaal gaat het m'n petje wel te boven :-) Het blijft nog steeds een geweldig goede site.

donderdag 12 april 2012 14:00

Acties:
  • 0 Henk 'm!
  • Asgaro
  • Registratie: Februari 2007
  • Laatst online: 08-10 17:01

Asgaro

Dacht al wel dat er topics over dit HTTPS gebeuren gemaakt zouden zijn, dus dan post ik hier maar.

Ik krijg nu telkens dit:
Afbeeldingslocatie: http://dl.dropbox.com/u/2648/Tweakers%20HTTPS/Capture.JPG

Afbeeldingslocatie: http://dl.dropbox.com/u/2648/Tweakers%20HTTPS/Capture2.JPG

( En Chrome geeft dan verwijzing naar https://support.google.co...r.py?hl=en&answer=1342714 )

Nu, ik heb de oudere posts gelezen en zo te zien geven jullie nog geen prioriteit aan volledige HTTPS. Wat ik wel deels begrijp.
Maar ik wou toch even een reactie plaatsen om aan te geven dat ook ik een volledige HTTPS-implementatie leuk zou vinden. :)

Denk dat ik Tweakers.net maar op de whitelist van mijn KB SSL Enforcer extension zal zetten for the time being :)

[ Voor 7% gewijzigd door Asgaro op 12-04-2012 14:01 ]

zaterdag 14 april 2012 16:41

Acties:
  • 0 Henk 'm!
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Met onze nieuwe loadbalancers kunnen we eenvoudiger SSL-termination gebruiken zonder gelijk moeilijk te moeten doen om SSL te krijgen in de losse webservers die we gebruiken (Varnish heeft bijvoorbeeld geen SSL-optie).

Zodra deze volledig ingezet zijn kunnen we in ieder geval een van de technische hindernissen wegnemen. Alle problemen die crisp noemt blijven dan overigens bestaan, dus het zal voorlopig alsnog geen prioriteit krijgen.

En we moeten natuurlijk ook wel reeel blijven. Tweakers.net is niet een site waar je veel persoonlijke gegevens neerzet of belangrijke prive-informatie hebt staan (zoals een bank ofzo). Dus de noodzaak voor SSL is niet enorm groot, ondanks dat je het misschien een prettiger gevoel vindt.

[ Voor 3% gewijzigd door ACM op 14-04-2012 16:46 ]

woensdag 3 oktober 2012 09:43

Acties:
  • 0 Henk 'm!
  • Alexxxxxxxxxx
  • Registratie: Juli 2010
  • Niet online

Alexxxxxxxxxx

Hier had uw tekst kunnen staan

Wanneer worden deze load balancers in gebruik genomen?

woensdag 3 oktober 2012 10:57

Acties:
  • 0 Henk 'm!
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 16:21

MueR

Admin Devschuur & Discord

is niet lief

Die zijn al lang in gebruik hoor.

Anyone who gets in between me and my morning coffee should be insecure.

donderdag 4 oktober 2012 10:44

Acties:
  • 0 Henk 'm!
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Maar we hebben nog geen tijd gehad om de SSL-opstelling er naar toe te verhuizen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq