[feat] HTTPS/SSL op Tweakers/GoT - Stoute bugs

zondag 17 augustus 2014 18:19

Acties:

0 Henk 'm!

AmsterdamVideo

Topicstarter

Disclaimer: Bij het nazoeken van het forum kwam ik over dit onderwerp al een ouder topic tegen, echter daar dit in een archief-forum staat is hierop niet te reageren, derhalve een nieuw topic!

Bij het bezoeken van Tweakers of GoT op SSL (HTTPS) refereren de links desondanks naar de niet beveiligde (HTTP) site, zodat bij de eerste de beste klik je weer onveilig browsed.
Een aantal jaren geleden is dit probleem al eens aangehaald (zie bovenaan in de disclaimer) maar het probleem bestaat nog steeds.
Destijds werd gezegd dat deze bug 'by design' was in de toenmalige website.
Echter heeft de website al eens een complete overhaul gehad en de nodige modificaties totaan de huidige 'responsieve' website die bovendien per gisteren de apps dient te vervangen.

Juist voor mobiel gebruik waarbij menigmaal gebruik wordt gemaakt van publieke WiFi ben ik van mening dat deze 'bug' eindelijk eens geplet zou moeten worden. De techniek heeft de afgelopen jaren niet stilgestaan, het gemiddelde gebruik verandert, redenen genoeg om dit op te lossen.

En, als het probleem zoals in het oude topic staat vermeld, is dat er foutmeldingen komen door mixed content, geef de gebruiker dan minimaal de optie om zelf te kiezen voor een 'beta-ssl-ervaring' dus opt-in in de instellingen. Dan moet de gebruiker eventuele foutmeldingen maar voor lief nemen maar is de site in ieder geval consistent veilig te gebruiken.

Al meer dan 2000 dagelijkse videos op AmsterdamVideo ||| Bier geeft plezier! Untappd je mee?

zondag 17 augustus 2014 18:52

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Het is geen bug, het is een keuze, laten we het noemen wat het is.

Het is voornamelijk een keuze tussen een poeptrage website of complimentjes als deze. Alles over https zorgt ervoor dat de gemiddelde 'full load' van de website van 1,06 seconde naar 1,93 seconde gaat (gekeken over de laatste 24 uur in onze externe monitoring).

Er zijn wel verbeteringen qua performance aan de gang, zoals SPDY, maar dat zit nog redelijk in beta en er zijn nog geen goede 'standaard' implementaties voor (tenzij je google of twitter heet. Voor apache is SPDY niet beschikbaar voor de nieuwste apache versies dus zouden we een reverse proxy op basis van nginx op moeten zetten, maar dat moeten we gewoon erg goed testen.

En de mensen die standaard https aan gaan zetten zijn iha ook de mensen die slim genoeg zijn om niet zonder vpn over publieke wifi te surfen of een https-anywhere addon.

[ Voor 5% gewijzigd door Kees op 17-08-2014 18:54 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 12 september 2014 14:24

Acties:

0 Henk 'm!

Ceaus

Ai, ai. Ik ben me daar nu pas voor het eerst van bewust sinds ik HTTPS Everywhere heb geinstalleerd.
Aangezien ik in een heel kritische topic op GoT meedoe (werk en inkomen, werkgever), kom ik er nu pas achter dat mijn wg gewoon kan meelezen. (Dus niks publieke wifi.) Daarbij, juist de mensen die niet slim genoeg zijn, moeten beschermd worden!

Ik zou het bijzonder op prijs stellen als Tweakers https rondom wil aanzetten. Ik krijg het spaans benauwd als ik er aan denk wat mijn wg nu van mij heeft kunnen meelezen

vrijdag 12 september 2014 16:21

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

Heb je de reactie van kees uberhaupt gelezen? die geeft precies aan waarom het er nog niet is.

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

vrijdag 12 september 2014 17:05

Acties:

0 Henk 'm!

Ceaus

Zeker heb ik zijn reactie gelezen. Maar privcay gaat toch voor snelheid/response tijd?

vrijdag 12 september 2014 17:07

Acties:

0 Henk 'm!

ThinkPad

Is dit niet mogelijk met custom CSS te realiseren? URL's rewriten adhv. een template? Of anders misschien als preference toevoegen in de Tweakers settings.

Ik snap het argument van T.net om het niet standaard aan te zetten ivm laadtijden, maar een setting om het zelf permanent aan te zetten is dan misschien een idee?

[ Voor 5% gewijzigd door ThinkPad op 12-09-2014 17:09 ]

vrijdag 12 september 2014 17:28

Acties:

0 Henk 'm!

Juup

Overal waar je nu

code:

1	<x href="http://twe...

hebt staan zou je evt ook

code:

1	<x href="//twe...

kunnen zetten, dat lost het probleem toch grotendeels op zonder performance impact voor de http gebruikers?

Waarom eigenlijk überhaupt absolute URLs gebruiken?

[ Voor 20% gewijzigd door Juup op 12-09-2014 17:30 ]

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 12 september 2014 18:10

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Ceaus schreef op vrijdag 12 september 2014 @ 17:05:
Zeker heb ik zijn reactie gelezen. Maar privcay gaat toch voor snelheid/response tijd?

Jouw privacy misschien wel. Daar zullen ca 200k users elk hun eigen mening over hebben.
De enige user die heel GoT naar zijn hand zou kunnen zetten is denk ik Zeef of anders Femme wellicht.
Maar voor de rest ben je denk ik een beetje naief als je denkt dat een website als T.net zijn hele infra alleen voor jou aan gaat passen, of gewoon, omdat het kan. Aanpassingen kosten geld. Dan steken ze dat liever ergens anders in

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zaterdag 13 september 2014 11:35

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Ceaus schreef op vrijdag 12 september 2014 @ 14:24:
Ai, ai. Ik ben me daar nu pas voor het eerst van bewust sinds ik HTTPS Everywhere heb geinstalleerd.
Aangezien ik in een heel kritische topic op GoT meedoe (werk en inkomen, werkgever), kom ik er nu pas achter dat mijn wg gewoon kan meelezen. (Dus niks publieke wifi.) Daarbij, juist de mensen die niet slim genoeg zijn, moeten beschermd worden!

Ik zou het bijzonder op prijs stellen als Tweakers https rondom wil aanzetten. Ik krijg het spaans benauwd als ik er aan denk wat mijn wg nu van mij heeft kunnen meelezen

Doel je dan op bijvoorbeeld Direct Messages? Die zouden m.i. ook achter https moeten. Voor de rest is de meeste informatie op Tweakers gewoon publiekelijk beschikbaar, en zelfs met https kan je werkgever in principe nog steeds zien waar je allemaal geweest bent op internet.

Juup schreef op vrijdag 12 september 2014 @ 17:28:
Overal waar je nu
code:
1
<x href="http://twe...
hebt staan zou je evt ook
code:
1
<x href="//twe...
kunnen zetten, dat lost het probleem toch grotendeels op zonder performance impact voor de http gebruikers?

Waarom eigenlijk überhaupt absolute URLs gebruiken?

Protocol-loze URI's gebruiken we al voor het includen van static (dynamic) resources zoals JS en CSS. We gebruiken absolute URL's omdat content niet alleen in een http-omgeving getoond kan worden, maar ook hergebruikt wordt voor bijvoorbeeld RSS, de nieuwsbrief en verschillende API's.

Intentionally left blank

maandag 15 september 2014 12:14

Acties:

0 Henk 'm!

Ceaus

crisp schreef op zaterdag 13 september 2014 @ 11:35:
Doel je dan op bijvoorbeeld Direct Messages? Die zouden m.i. ook achter https moeten.

Klopt!

Voor de rest is de meeste informatie op Tweakers gewoon publiekelijk beschikbaar, en zelfs met https kan je werkgever in principe nog steeds zien waar je allemaal geweest bent op internet.

Dat mijn wg ziet waar ik geweest ben vind ik niet zo erg. Dat hij kan meelezen met wat ik op een GoT forum in tik, vind ik niet tof.
Natuurlijk kan ik mijn GoT activiteiten uitstellen tot in de avond uurtjes als ik weer thuis ben. Dat is idd een keuze. Maar het is dat ik HTTPS Everywhere vorige week heb geïnstalleerd. Anders had ik het niet eens geweten. Ter bescherming van de onnozelen zoals ik, zou https een flinke stap voorwaards zijn.

maandag 15 september 2014 12:17

Acties:

0 Henk 'm!

Verwijderd

Waar heb je het over? GoT is gewoon openbaar, iedereen kan lezen wat je op GoT hebt gezet?

maandag 15 september 2014 12:18

Acties:

0 Henk 'm!

DennusB

Verwijderd schreef op maandag 15 september 2014 @ 12:17:
Waar heb je het over? GoT is gewoon openbaar, iedereen kan lezen wat je op GoT hebt gezet?

Niet in ieder forum, en door HTTP verkeer te onderscheppen kan bijv je werkgever dat nu wel

Owner of DBIT Consultancy | DJ BassBrewer

maandag 15 september 2014 12:19

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Ceaus schreef op vrijdag 12 september 2014 @ 14:24:
Ik zou het bijzonder op prijs stellen als Tweakers https rondom wil aanzetten. Ik krijg het spaans benauwd als ik er aan denk wat mijn wg nu van mij heeft kunnen meelezen

Als je het daar Spaans benauwd van krijgt moet je dat soort info niet op internet zetten. Vrijwel elk forum waar jij ooit bij zal kunnen is ofwel publiek beschikbaar of dermate semi-publiek dat je er écht geen privédingen op moet zetten...

Trouwens, je hebt maar 5 posts? Wat heb je dan gedeeld waar je het Spaans benauwd van krijgt?

[ Voor 8% gewijzigd door NMe op 15-09-2014 12:20 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 15 september 2014 12:19

Acties:

0 Henk 'm!

webinn

Kees schreef op zondag 17 augustus 2014 @ 18:52:

Het is voornamelijk een keuze tussen een poeptrage website of complimentjes als deze. Alles over https zorgt ervoor dat de gemiddelde 'full load' van de website van 1,06 seconde naar 1,93 seconde gaat (gekeken over de laatste 24 uur in onze externe monitoring).

mag ik vragen welke externe monitoring jullie gebruiken om dit te meten?

maandag 15 september 2014 12:21

Acties:

0 Henk 'm!

Verwijderd

Inderdaad wat NMe zegt, ik zou eens goed nadenken wat voor relatie je hebt met je baas als hij dit soort dingen niet mag weten en daar zulke consequenties aan hangen dat jij het daar benauwd van krijgt. Ik vertel m'n baas ook niet alles, maar dat is eerder omdat het hem waarschijnlijk niet boeit. In principe mag hij alles van me weten, daar hangen sowieso geen consequenties aan (buiten dat hij misschien Homer Simpsons style NERRRRRDDDD roept).

maandag 15 september 2014 12:23

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

Ceaus schreef op maandag 15 september 2014 @ 12:14:
[...]

Klopt!

[...]

Dat mijn wg ziet waar ik geweest ben vind ik niet zo erg. Dat hij kan meelezen met wat ik op een GoT forum in tik, vind ik niet tof.
Natuurlijk kan ik mijn GoT activiteiten uitstellen tot in de avond uurtjes als ik weer thuis ben. Dat is idd een keuze. Maar het is dat ik HTTPS Everywhere vorige week heb geïnstalleerd. Anders had ik het niet eens geweten. Ter bescherming van de onnozelen zoals ik, zou https een flinke stap voorwaards zijn.

Of gewoon een vpn gebruiken

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

maandag 15 september 2014 13:25

Acties:

0 Henk 'm!

Ceaus

Verwijderd schreef op maandag 15 september 2014 @ 12:21:
Inderdaad wat NMe zegt, ik zou eens goed nadenken wat voor relatie je hebt met je baas als hij dit soort dingen niet mag weten en daar zulke consequenties aan hangen dat jij het daar benauwd van krijgt.

Dat staat in een bericht wat verder naar boven:

Aangezien ik in een heel kritische topic op GoT meedoe (werk en inkomen, werkgever)...

maandag 15 september 2014 13:27

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

W&I is gewoon een open forum. SSL of niet, je baas kan daar meelezen. Wat gaat HTTPS daar in hemelsnaam aan veranderen?

En je hebt geen posts in W&I.

[ Voor 13% gewijzigd door NMe op 15-09-2014 13:31 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 15 september 2014 14:09

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Ceaus schreef op maandag 15 september 2014 @ 13:41:
[...]

En van die discussie wil ik niet dat mijn wg meeleest.

Wat houdt hem tegen? Om maar even een indruk te geven: [google=site:gathering.tweakers.net werken bij logica] of [google=site:gathering.tweakers.net werken bij cgi] of [google=site:gathering.tweakers.net werken bij getronics]. Of je nou HTTPS gebruikt of niet, terugvinden kan 'ie het toch.

Ceaus schreef op maandag 15 september 2014 @ 13:47:
Ik ben nog nooit zo actief in een forum geweest als in het W&I topic

Ehm... http://gathering.tweakers...find/poster/567786/topics ?

[ Voor 8% gewijzigd door NMe op 15-09-2014 14:46 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 15 september 2014 14:47

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

NMe schreef op maandag 15 september 2014 @ 14:09:
[...]
Ehm... http://gathering.tweakers...find/poster/567786/topics ?

Clone neem ik aan?

Maar met HTTPS anywhere aan zou je toch helemaal geen probleem moeten hebben? Die redirect juist alles over https waardoor je juist weer veilig bent, en https werkt wel gewoon.

Verder zijn er meer issues met https; heel vaak worden er plaatjes e.d. geembed door bezoekers, bijvoorbeeld in een topic alla: [Verzamel]Nachtfotografie deel 2 . Als wij https aanbieden dan loopt er nog steeds een aanzienlijk deel via http puur door de content in de forumposts.

Juup schreef op vrijdag 12 september 2014 @ 17:28:
Overal waar je nu
code:
1
<x href="http://twe...
hebt staan zou je evt ook
code:
1
<x href="//twe...
kunnen zetten, dat lost het probleem toch grotendeels op zonder performance impact voor de http gebruikers?

Waarom eigenlijk überhaupt absolute URLs gebruiken?

Absolute URL's waren vroeger gewoon de standaard. Dit forum is niet de afgelopen paar jaar gemaakt maar over de loop van bijna 15 jaar. 10-15 jaar geleden was er absoluut geen drive om uberhaubt over https na te denken en schreef je je code gewoon absoluut.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 16 september 2014 08:54

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

webinn schreef op maandag 15 september 2014 @ 12:19:
[...]

mag ik vragen welke externe monitoring jullie gebruiken om dit te meten?

Wij gebruiken daarvoor Monitis.com

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

vrijdag 24 oktober 2014 12:21

Acties:

0 Henk 'm!

Verwijderd

Interessante discussie: plan: Dilemma: moet Tweakers https inzetten?
Wat denken jullie hier van? Moet Tweakers standaard https gaan gebruiken?

Ik vind het overigens geen goed idee dat Tweakers de comment sectie gaat gebruiken als discussie platform. Daarvoor hebben ze toch een forum?

[ Voor 41% gewijzigd door Verwijderd op 24-10-2014 12:29 ]

vrijdag 24 oktober 2014 12:36

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

Ik blijf het overdreven vinden om overal maar https voor te moeten inzetten. Het is een nieuwssite! Geen bank, zorginstelling of vertrouwde chat. Het enige waar je het voor zou kunnen verantwoorden is de login page.

vrijdag 24 oktober 2014 12:40

Acties:

0 Henk 'm!

WernerL

GateKeaper schreef op vrijdag 24 oktober 2014 @ 12:36:
Ik blijf het overdreven vinden om overal maar https voor te moeten inzetten. Het is een nieuwssite! Geen bank, zorginstelling of vertrouwde chat. Het enige waar je het voor zou kunnen verantwoorden is de login page.

Inloggen kun je ook wel oplossen met Challenge/response authentication.
Dan blijft alleen de registratiepagina over. :-)

Roses are red, violets are blue, unexpected '{' on line 32.

vrijdag 24 oktober 2014 12:44

Acties:

0 Henk 'm!

ZpAz

GateKeaper schreef op vrijdag 24 oktober 2014 @ 12:36:
Ik blijf het overdreven vinden om overal maar https voor te moeten inzetten. Het is een nieuwssite! Geen bank, zorginstelling of vertrouwde chat. Het enige waar je het voor zou kunnen verantwoorden is de login page.

Imho mag van mij al het verkeer wel over https. De tijden dat het zo'n big hit was op performance liggen ook wel even achter ons.

Tweakers Time Machine Browser Extension | Chrome : Firefox

vrijdag 24 oktober 2014 12:47

Acties:

0 Henk 'm!

Soultaker

Verwijderd schreef op vrijdag 24 oktober 2014 @ 12:21:
Interessante discussie: plan: Dilemma: moet Tweakers https inzetten?
Wat denken jullie hier van? Moet Tweakers standaard https gaan gebruiken?

Ik vind van wel, in ieder geval voor de pagina's waar geauthenticeerde sessies voor worden gebruikt. Ik weet niet precies wat de verhouding ingelogde/niet-ingelogde gebruikers is op Tweakers.net, maar je zou de HTTP-only site zonder sessies kunnen handhaven, natuurlijk.

WernerL schreef op vrijdag 24 oktober 2014 @ 12:40:
Inloggen kun je ook wel oplossen met Challenge/response authentication.

Dat kan niet; als je de code voor het authenticatieprotocol van dezelfde site haalt als waarmee je wil authenticeren, dan ben je de sjaak zodra iemand een man-in-the-middle attack uitvoert. Zie ook: Javascript Cryptography Considered Harmful .

vrijdag 24 oktober 2014 12:55

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

ZpAz schreef op vrijdag 24 oktober 2014 @ 12:44:
[...]

Imho mag van mij al het verkeer wel over https. De tijden dat het zo'n big hit was op performance liggen ook wel even achter ons.

Jaja, en dan moeten we voor onze simpele blogjes straks ook plotseling ssl-certificaten gaan beheren?

vrijdag 24 oktober 2014 13:22

Acties:

0 Henk 'm!

Alex)

GateKeaper schreef op vrijdag 24 oktober 2014 @ 12:55:
[...]

Jaja, en dan moeten we voor onze simpele blogjes straks ook plotseling ssl-certificaten gaan beheren?

Wat mij betreft wel.

We are shaping the future

vrijdag 24 oktober 2014 13:24

Acties:

0 Henk 'm!

OkkE

CSS influencer :+

Wat mij betreft mag alles op internet via SSL gaan. Ik zou niet weten waarom niet.

“The best way to get the right answer on the Internet is not to ask a question, it's to post the wrong answer.”
QA Engineer walks into a bar. Orders a beer. Orders 0 beers. Orders 999999999 beers. Orders a lizard. Orders -1 beers.

vrijdag 24 oktober 2014 13:25

Acties:

0 Henk 'm!

WernerL

Soultaker schreef op vrijdag 24 oktober 2014 @ 12:47:
[...]

Dat kan niet; als je de code voor het authenticatieprotocol van dezelfde site haalt als waarmee je wil authenticeren, dan ben je de sjaak zodra iemand een man-in-the-middle attack uitvoert. Zie ook: Javascript Cryptography Considered Harmful .

Het gaat erom dat het wachtwoord niet meer als plain-text over het internet gestuurd wordt en hackers dus niet meer zomaar het wachtwoord kunnen achterhalen. De gegevens die je naar de server stuurt zijn namelijk volledig random. Dat hackers de javascript kunnen zien hoeft ook niets uit te maken, gewoon een combinatie van een of meerdere sterke hashing algorithmes en je bent er toch? Serverside wil je alleen weten of het wachtwoord correct is, maar de inhoud hoeft niet ge-decrypt te worden.

Een man-in-themiddle-attack los je inderdaad niet op zonder SSL.

[ Voor 31% gewijzigd door WernerL op 24-10-2014 13:28 ]

Roses are red, violets are blue, unexpected '{' on line 32.

vrijdag 24 oktober 2014 13:49

Acties:

0 Henk 'm!

Acid_Burn

uhuh

OkkE schreef op vrijdag 24 oktober 2014 @ 13:24:
Wat mij betreft mag alles op internet via SSL gaan. Ik zou niet weten waarom niet.

Ik zie niet in waarom wel.

Glass Eye Photography | Zelfbouw wireless fightstick | Mijn puzzel site

vrijdag 24 oktober 2014 13:55

Acties:

0 Henk 'm!

Voutloos

Omdat het eigenlijk heel raar is om, bij een gigantisch wereldwijd netwerk welke simpelweg niet van voor naar achter te vertrouwen is, het zomaar te accepteren dat communicatie door iedereen zichtbaar en manipuleerbaar is terwijl je ook nog niet eens zeker weet met wie je uberhaupt praat.

{signature}

vrijdag 24 oktober 2014 13:59

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

Wan't dat is echt een probleem als iemand wat op nu.nl leest, op reddit hangt, of op instagram rondneust.

Het overgrote deel van het web is bedoeld om openbaar te zijn. Ik denk dat dat besef een stuk belangrijker is dan het overal doorvoeren van ssl.

vrijdag 24 oktober 2014 14:00

Acties:

0 Henk 'm!

Alex)

Waarom zou je het niet willen doen, behalve "is moeilijk!"...?

We are shaping the future

vrijdag 24 oktober 2014 14:00

Acties:

0 Henk 'm!

Tjolk

Alex) schreef op vrijdag 24 oktober 2014 @ 14:00:
Waarom zou je het niet willen doen, behalve "is moeilijk!"...?

Omdat het niets toevoegt als het gaat om nieuwssites

Tjolk is lekker. overal en altijd.

vrijdag 24 oktober 2014 14:05

Acties:

0 Henk 'm!

dcm360

Moderator Discord

HD7767 powered

Voutloos schreef op vrijdag 24 oktober 2014 @ 13:55:
Omdat het eigenlijk heel raar is om, bij een gigantisch wereldwijd netwerk welke simpelweg niet van voor naar achter te vertrouwen is, het zomaar te accepteren dat communicatie door iedereen zichtbaar en manipuleerbaar is terwijl je ook nog niet eens zeker weet met wie je uberhaupt praat.

SSL lost dat probleem in theorie wel op, maar in de praktijk is gebleken dat CA's daar te slordig voor zijn.

vrijdag 24 oktober 2014 14:08

Acties:

0 Henk 'm!

Tjolk

Maar dan nog: zolang het gaat om openbare informatie dan heeft het totaal geen meerwaarde. Men ziet toch op welke site je zit, SSL of niet. Ben je aan het posten op een blog of forum, ook dan heeft SSL geen meerwaarde aangezien je juist WIL dat het openbaar is.
Pas als je met transacties, inloggegevens, email, etc. (oftwel: privédata) heeft SSL meerwaarde.

Tjolk is lekker. overal en altijd.

vrijdag 24 oktober 2014 14:09

Acties:

0 Henk 'm!

markvt

Peppi Cola

Vergeet niet dat ook providers een nieuw verdienmodel proberen aan te boren door je verkeersgegevens te verkopen. Dat is nog meer goud dan de data van google en facebook.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

vrijdag 24 oktober 2014 14:22

Acties:

0 Henk 'm!

Verwijderd

Ger schreef op vrijdag 24 oktober 2014 @ 14:08:
Maar dan nog: zolang het gaat om openbare informatie dan heeft het totaal geen meerwaarde. Men ziet toch op welke site je zit, SSL of niet. Ben je aan het posten op een blog of forum, ook dan heeft SSL geen meerwaarde aangezien je juist WIL dat het openbaar is.
Pas als je met transacties, inloggegevens, email, etc. (oftwel: privédata) heeft SSL meerwaarde.

Ik sluit me hier wel bij aan. Ik heb niet veel zin in langere laadtijden voor gegevens die iedereen toch mag zien. Inloggen en registratie horen uiteraard wel via https te gaan net zoals het afsluiten van abbo's in de abboshop.

Nieuwssites zijn publiek, er staat voornamelijk content op die voor iedereen bedoeld is. Waarom zou je dat willen versleutelen?

vrijdag 24 oktober 2014 14:22

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

Alex) schreef op vrijdag 24 oktober 2014 @ 14:00:
Waarom zou je het niet willen doen, behalve "is moeilijk!"...?

Omdat ik performance belangrijker vind dan https op een nieuws website.

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

vrijdag 24 oktober 2014 14:24

Acties:

0 Henk 'm!

markvt

Peppi Cola

Ik gebruik got/tnet al tijden via https met https everywhere https://www.eff.org/HTTPS-EVERYWHERE naar mijn mening valt de impact van https t.o.v. http reuze mee op de browse ervaring.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

vrijdag 24 oktober 2014 14:26

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

Op een goede verbinding ja, probeer het is op een crappy 3g verbinding.

Tweakers is op dit moment een van de weinige websites die goed laad op 3g, ik hoop dat dat zo blijft.

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

vrijdag 24 oktober 2014 14:26

Acties:

0 Henk 'm!

StM

Dat HTTPS voorkomt dat een werkgever niet mee kan lezen is helemaal geen gegeven. Er zijn er die zo ver gaan om hun HTTP proxy te boel te laten mitm'en door een CA certificaat in de image op te nemen en gewoon on the fly certificaten te genereren.

vrijdag 24 oktober 2014 14:32

Acties:

0 Henk 'm!

Dido

heforshe

StM schreef op vrijdag 24 oktober 2014 @ 14:26:
Dat HTTPS voorkomt dat een werkgever niet mee kan lezen is helemaal geen gegeven. Er zijn er die zo ver gaan om hun HTTP proxy te boel te laten mitm'en door een CA certificaat in de image op te nemen en gewoon on the fly certificaten te genereren.

Dat doet mijn huidige opdrachtgever ook. En als dat geen mogelijkheid was geweest hadden ze waarschijnlijk (nah, vrijwel zeker) nooit SSL geimplementeerd.

(De belangen van de opdrachtgever bij het niet weten wat er naar binnen of naar buiten gaat wegen redelijk eenvoudig op tegen de individuele (privacy) belangen van de werknemers, dus dan is dat niet zo heel erg gek)

Wat betekent mijn avatar?

vrijdag 24 oktober 2014 14:43

Acties:

0 Henk 'm!

Voutloos

Verwijderd schreef op vrijdag 24 oktober 2014 @ 14:22:
Nieuwssites zijn publiek, er staat voornamelijk content op die voor iedereen bedoeld is. Waarom zou je dat willen versleutelen?

(Ik pak nu deze quote, maar oa GateKeeper, Ger maken soortgelijke opmerkingen)

SSL zegt niets, nada, noppes over publiek zijn van de resource (==toegang tot resource), de context van deze discussie gaat niet over autorisatie.

In deze use case: Iedereen mag nieuws op tweakers lezen, maar dat betekent nog niet dat iedereen het verkeer tussen een lezer en tweakers mag lezen of zelfs manipuleren. En dan is er ook nog het verschil tussen enkel weten dat je iets met site X doet, versus weten wat je specifiek interessant vind, het omgaan met naw gegevens van abo's, betaalgegevens, vervelende users, embargo's, en alle vacatures die jij hier onder werktijd leest.

Soit, t.net kan je wellicht (anno nu) beschouwen als minder gevoelig dan je banksite of een site met meer schimmige onderwerpen. De tradeoff met performance is dan ook lastiger, maar imo kan je de keuze niet eens goed bij gebruikers neer leggen. Heck, ik leg in deze post het verschil tussen ssl en publiek toegankelijk uit aan een developer. Dat moet ook kunnen (no offence intended), maar ik verwacht dan al helemaal niet dat een minder technische bezoeker alle ins en outs weet.

[ Voor 21% gewijzigd door Voutloos op 24-10-2014 15:04 ]

{signature}

vrijdag 24 oktober 2014 14:49

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

Voutloos schreef op vrijdag 24 oktober 2014 @ 14:43:
[...] En dan is er ook nog het verschil tussen enkel weten dat je iets met site X doet, versus weten wat je specifiek interessant vind, het omgaan met naw gegevens van abo's, betaalgegevens, vervelende users, embargo's, en alle vacatures die jij hier onder werktijd leest.

Zoals ik ook schrijf; mensen moeten zich maar eens bewust worden van het feit dat internet een openbaar medium is. "alle vacatures die jij onder werktijd leest". Misschien zouden mensen dat soort dingen gewoon eens niet onder werktijd moeten doen? Daar heb je toch je privé tijd voor?

Daarnaast, SSL zorgt er niet voor dat er geen user-tracking meer mogelijk is. Het profileren van iemand, dus het bijhouden van "het omgaan met naw gegevens, betaalgegevens, vervelende users" staat daar ook weer los van.

Ik ben het overigens met je eens dat naw- en betaalgegevens privé zijn. Voor dergelijke zaken mag wat mij betreft ssl dan ook verplicht worden. Echter blijf ik bij mijn standpunt; voor het lezen van een nieuwssite, hoeft wat mij betreft geen ssl te worden geïmplementeerd. En als mensen zich schamen voor de reactie die ze daar plaatsen, dan moeten ze die misschien gewoon niet plaatsen. Berichten zijn vrijwel altijd te herleiden, ssl brengt daar geen verandering in.

vrijdag 24 oktober 2014 14:51

Acties:

0 Henk 'm!

PrisonerOfPain

GateKeaper schreef op vrijdag 24 oktober 2014 @ 14:49:
Misschien zouden mensen dat soort dingen gewoon eens niet onder werktijd moeten doen? Daar heb je toch je privé tijd voor?

Leuk, maar daar heb jij natuurlijk niks over te zeggen en het is om die reden natuurlijk dan ook een ongeldig argument.

vrijdag 24 oktober 2014 14:54

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

PrisonerOfPain schreef op vrijdag 24 oktober 2014 @ 14:51:
[...]

Leuk, maar daar heb jij natuurlijk niks over te zeggen en het is om die reden natuurlijk dan ook een ongeldig argument.

Klopt, heb ik niets over te zeggen. Maar het is (inderdaad, naar mijn mening) een zwak argument om ssl op een nieuwssite / vacature openbare site te moeten hebben.

"Ja, er moet ssl worden toegepast, want anders komt mijn baas erachter dat ik onder werktijd surf".

[ Voor 13% gewijzigd door GateKeaper op 24-10-2014 14:55 ]

vrijdag 24 oktober 2014 14:56

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

https://blog.kissmetrics.com/speed-is-a-killer/

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 24 oktober 2014 15:07

Acties:

0 Henk 'm!

Nvidiot

notepad!

Ik zou er al blij van worden als het posten op het forum ook met https kan. Ik gebruik https everywhere en dat werkt best goed, maar als ik post krijg ik nog een waarschuwing van mijn browser dat de pagina https is maar de post niet.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

vrijdag 24 oktober 2014 15:32

Acties:

0 Henk 'm!

Voutloos

Nvidiot, ik gok dat dat eigenlijk ook al moet kunnen werken, maar dat https everywhere (gebruik het zelf ook

) deze form target gewoon nog niet herschrijft.

(Om te testen heb ik deze post via https gepost, dus 't moet al kunnen

)

edit:
Hoera, werkt echt, ik doe wel suggestie bij addon maker.

[ Voor 12% gewijzigd door Voutloos op 24-10-2014 15:32 ]

{signature}

vrijdag 24 oktober 2014 16:24

Acties:

0 Henk 'm!

incaz

Ik vind het persoonlijk onvoorstelbaar hoe ok men het blijkbaar vindt dat je je hele gedrag aan moet passen - 'dan moet je het maar niet plaatsen', 'dan moet je maar niet kijken' - dat doet mij vooral denken aan verhalen over de USSR. Dat is niet ok - wij hebben de vrijheid nodig. Vrijheid om niet-gemanipuleerde informatie te lezen, om niet gecontroleerd te worden, en om niet gecensureerd te worden. Niet door werkgevers en niet door de overheid en niet door hackers.

Heel veel ingewikkelder dan dat is het niet - SSL lijkt me dus uiteindelijk essentieel voor het internet en voor onze samenleving.

Never explain with stupidity where malice is a better explanation

vrijdag 24 oktober 2014 16:31

Acties:

0 Henk 'm!

GateKeaper

#1 Procastinator

SSL is daar niet de oplossing voor. Ook met SSL kan achterhaald worden welke sites je bezoekt, (immers moet je provider je toch ook kunnen doorsturen naar de juiste website), en ook met SSL kan informatie worden gecensureerd.

Ik ben het volledig met je eens wanneer je zegt dat wij vrijheid en privacy nodig hebben. Maar SSL is in die zin geen oplossing om vrijheid en privacy te waarborgen.

En zelfs dan, om toch wat "ontopic" te blijven; moet een site als Tweakers.net (en dan doel ik vooral op de frontpage), serieus hun nieuwsartikelen over https verzenden, omdat persoon x niet wil dat zijn baas weet dat hij tweakers.net leest onder werktijd?

[ Voor 24% gewijzigd door GateKeaper op 24-10-2014 16:34 ]

vrijdag 24 oktober 2014 16:57

Acties:

0 Henk 'm!

Douweegbertje

Wat kinderachtig.. godverdomme

Valt me vies tegen dat hier de helft niet snapt waar je SSL voor gebruikt. Termen als "het is een vereiste voor onze samenleving" laten mij domweg lachen. Nu denk je misschien, goh waarom reageert hij zo overdreven gaar: nou omdat je niet eens de basis van SSL snapt.

Begrijp gewoon eerst dat SSL is gemaakt om private informatie ook daadwerkelijk private te houden. Verkeer dat verstuurd wordt voornamelijk van een publiekelijke plaats zou daarom middels SSL verstuurd moeten worden. Immers kunnen mensen je gegevens anders -eventueel- inzien. Dit is vooral belangrijk met -alle- dingen wat -niet- publiekelijk is. Denk hierbij aan een PM, het registreren en het inloggen.
Al het andere is gewoon al publiekelijk. Ik kan haast niet vertellen hoe 'stom' het klinkt om publiekelijk materiaal af te schermen, terwijl iedereen het toch kan zien.

Tweakers onder HTTPS zetten is precies het zelfde zoals het nu is, behalve je hebt een extra technische implementatie en eventueel wat meer load.

Wat uiteraard dan wel een vereiste zou moeten zijn is het inloggen via HTTPS, idem als PM's en registratie of elk ander aspect waar prive informatie wordt verstuurd wat dus niet public is.

Verder: Als jij HTTPS wilt omdat je -denkt- dat je dat zekerheid geeft op anonimiteit (want DAAR hebben een aantal het over) dan heb je het al per definitie fout EN pak je nog eens het verkeerde protocol c.q. aanpak daarvoor. Immers zit je al op een publiekelijk netwerk waarbij per definitie al je anonimiteit verloren is, ongeacht of dit HTTP of HTTPS is. Ga alsjeblieft niet met zo'n argument dus komen.

Zet dan een tunneltje op of wat dan ook, om een zekere vorm van garantie te krijgen dat je anoniem kan surfen. Even simpel gezegd; als HTTPS de oplossing was, dan kon je in elk land waar censuur was gebruik maken van HTTPS.. maar guess what. Dat is niet de oplossing voor zoiets.
Daarnaast zit je gewoon met je account, waar niets anoniems aan is

Nog even wat incaz zegt; je werkgever of overheid kan alles zien. Weet je waarom? Omdat je hier op een openbare plek loopt te posten. Ik heb zo al jouw berichten opgevangen hoor, en raad eens? Het boeit geen ene moer of je dat nu via HTTP of HTTPS hebt gepost want het is public.

vrijdag 24 oktober 2014 17:23

Acties:

0 Henk 'm!

incaz

Douweegbertje schreef op vrijdag 24 oktober 2014 @ 16:57:
Begrijp gewoon eerst dat SSL is gemaakt om private informatie ook daadwerkelijk private te houden.

Het is (oa) ook om integriteit van sites te garanderen en van de communicatie heen en terug. Dat is bijvoorbeeld ook relevant voor niet-publieke wifi's, en waar mensen tussen jouw wifiverbinding in gaan zitten zonder dat je dat doorhebt. Mag ik toch nog even wijzen op de security expert Troy Hunt, die daar best veel over heeft geschreven?
(Een recente post, http://www.troyhunt.com/2...pning-out-from-great.html )

Het is zeker niet zo dat het voor Tweakers meer prio heeft dan bij banken, maar het doet wel zeker terzake.

Al het andere is gewoon al publiekelijk. Ik kan haast niet vertellen hoe 'stom' het klinkt om publiekelijk materiaal af te schermen, terwijl iedereen het toch kan zien.

Nee, niet iedereen kan het zien als het encrypted is. Niet alles wat je naar Tweakers post is publiekelijk zichtbaar. Niet iedereen hoeft ook te weten als welke gebruiker je bent ingelogd op de site, en dat is informatie die uit kan lekken bij niet-encrypted data.

Dat voorbeeld was ook al op de frontpage gegeven: stel, je post (vanaf huis) een kritische opmerking over de beveiliging van de bankensoftware. Je hoeft maar 1 keer per ongeluk via het bedrijfsnetwerk op tweakers terecht gekomen te zijn, en je gebruikersnaam kan bekend zijn bij je werkgever. Terwijl die koppeling niet gemaakt had kunnen worden als de communicatie encrypted was verlopen. Zonder die informatie had men een verzoek moeten indienen via de rechter over vrijgeven van de persoonsgegevens van iemand onder een gebruikersnaam, Tweakers geeft die zaken niet zomaar vrij, volgens hun privacypolicy.

Veel gebruikers zijn makkelijk op te sporen via de informatie die ze publiekelijk delen op tweakers, maar dat geldt zeker niet voor iedereen.

Dat is dus een vrij wezenlijk verschil met wel degelijk hele reele gevolgen.

Qua integriteit kan het ook te maken hebben met het stelen van sessions en posten onder andermans naam. Dat is een minder groot risico omdat dat vrij snel opgepakt zal worden door het team en op tweakers minder verstrekkende gevolgen heeft dan valse tweets of of facebook-updates, maar het is desondanks een veiligheidsrisico.

(Een niet heel veelvoorkomend maar wel mogelijk scenario: een gebruiker die de kritische opmerking over zijn werkgever maar voor de zekerheid doet onder de inlog van een collega die hij toch niet mag.)

Er zijn reele risico's en scenario's waar er schade gedaan kan worden. En nee, ik denk niet dat er hierdoor dagelijks mensen in ernstige problemen komen. Maar de achteloosheid waarmee mensen eroverheen stappen past zeker ook niet. Het hele internet een stuk veiliger (zowel qua manipulatie als privacy) lijkt mij echt belangrijk. En SSL is daar een deel van.

Never explain with stupidity where malice is a better explanation

vrijdag 24 oktober 2014 17:26

Acties:

0 Henk 'm!

Douweegbertje

Wat kinderachtig.. godverdomme

Heel verhaal, maar het enige wat je -weer- opnoemt is niet het probleem van Tweakers maar van jou zelf. Als jij niet wilt dat iemand weet dat jij incaz bent, en dat jij iets hebt gepost dan moet je zorgen dat je anoniem op het internet zit en daar is SSL niet de oplossing voor zoals ik al eerder had vermeld.

Ik ga het ook nog een keer zeggen dat SSL geen garantie is op anonimiteit, zeker niet als je op je bedrijfsnetwerk inlogt.

vrijdag 24 oktober 2014 19:17

Acties:

0 Henk 'm!

incaz

Ehm, SSL biedt de garantie eigenlijk wel. Als je via SSL inlogt kan het bedrijf jouw inloggegevens niet achterhalen. Dat is min of meer de hele basis van SSL, en van bv veilig bankieren - dat anderen jouw gegevens niet kunnen onderscheppen of beinvloeden. De url is wel achterhaalbaar, maar de frontpage van tweakers in het algemeen is toch beduidend minder belastend dan 'dit is gebruiker xyz.'

Never explain with stupidity where malice is a better explanation

vrijdag 24 oktober 2014 19:34

Acties:

0 Henk 'm!

F.West98

Alweer 16 jaar hier

Het bedrijf kan wél zien wanneer jij iets post, en kan zelf kijken welke post toen gepost is.

2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI

vrijdag 24 oktober 2014 20:03

Acties:

0 Henk 'm!

Alex)

incaz schreef op vrijdag 24 oktober 2014 @ 19:17:
Ehm, SSL biedt de garantie eigenlijk wel. Als je via SSL inlogt kan het bedrijf jouw inloggegevens niet achterhalen. Dat is min of meer de hele basis van SSL, en van bv veilig bankieren - dat anderen jouw gegevens niet kunnen onderscheppen of beinvloeden. De url is wel achterhaalbaar, maar de frontpage van tweakers in het algemeen is toch beduidend minder belastend dan 'dit is gebruiker xyz.'

Als je bedrijf een proxyserver heeft die aan SSL-MITM doet kan dat wel hoor. De proxyserver heeft dan inzage in alle requests die over de lijn gaan, doordat deze alle sessies onderschept, ontsleutelt, inspecteert en opnieuw versleutelt (met een door de proxyserver gegenereerd certificaat) voordat de inhoud op jouw scherm komt. In Iran heeft men dit zelfs op landelijke schaal gedaan ten tijde van het Diginotar-schandaal.

Google Chrome voorkomt dit deels doordat die browser een lijst aan boord heeft waarop staat welke CA's certificaten mogen uitgeven voor bepaalde domeinen. Omdat Diginotar niet op die lijst stond ging Chrome gillen toen een Iraniër naar GMail ging...

We are shaping the future

vrijdag 24 oktober 2014 20:13

Acties:

0 Henk 'm!

incaz

F.West98 schreef op vrijdag 24 oktober 2014 @ 19:34:
Het bedrijf kan wél zien wanneer jij iets post, en kan zelf kijken welke post toen gepost is.

Ja, maar je post niet via het bedrijfsnetwerk. Het gaat om het lekken van je inlognaam.

Alex): dat was inderdaad de uitzondering waarvan ik nog aan het nadenken was of ik die wel of niet moest posten. Wel dus

Maar chrome rolt idd cert pinning uit.

Never explain with stupidity where malice is a better explanation

zondag 26 oktober 2014 04:16

Acties:

0 Henk 'm!

Mentalist

[avdD]

Verwijderd schreef op maandag 15 september 2014 @ 12:17:
Waar heb je het over? GoT is gewoon openbaar, iedereen kan lezen wat je op GoT hebt gezet?

Zijn werkgever kan het wel lezen, maar zolang zijn werkgever niet weet achter welk usernaampje hij schuilt maakt dat niet zoveel uit.

Maar zonder HTTPS blijft dat niet lang geheim.

GateKeaper schreef op vrijdag 24 oktober 2014 @ 13:59:
Wan't dat is echt een probleem als iemand wat op nu.nl leest, op reddit hangt, of op instagram rondneust.

Moet je es in China proberen. Ik denk dat je daar wel blij bent als je kritische post met HTTPS over de lijn gaat. Hetzelfde voor je request om een kritisch artikel te lezen op nu.nl. En nee, de meeste Tweakers leven nu toevallig niet in China, maar dat doet niets af aan het principe. Als je het netwerk niet van voor tot achter kan vertrouwen (en dat kan op internet nooit) dan is end-to-end encryptie helemaal geen slecht idee.

markvt schreef op vrijdag 24 oktober 2014 @ 14:24:
Ik gebruik got/tnet al tijden via https met https everywhere https://www.eff.org/HTTPS-EVERYWHERE naar mijn mening valt de impact van https t.o.v. http reuze mee op de browse ervaring.

Naar mijn mening zijn we al een heel eind als bugreports voor HTTPS-everywhere gebruikers gewoon worden behandeld net als iedere andere bugreport.

Enige probleem wat ik heb ervaren is dat plaatjes in popups (als ik een plaatje aanklik dus) op het forum niet laden. En dat wanneer ik een HTTPS-link hier neerzet die niet automatisch wil converteren naar een titel, zoals:

https://gathering.tweakers.net/forum/list_messages/1601768

Het probleem met de popups is op te lossen door die popup-pagina ook beschikbaar te maken over HTTPS, het probleem met de link is op te lossen door https om te zetten naar http. Voor het hoofddomein tweakers.net doet de parser dat al. Het zijn an sich geen gigantische problemen die dagenlange hoofdbrekens zouden moeten veroorzaken, voor mijn gevoel tenminste. Misschien zit ik ernaast. En die mixed content meldingen, die neem ik wel voor lief.

Just curious, als er een statistiek van bestaat: hoeveel Tweakers gebruiken HTTPS-everywhere?

GateKeaper schreef op vrijdag 24 oktober 2014 @ 16:31:
Ik ben het volledig met je eens wanneer je zegt dat wij vrijheid en privacy nodig hebben. Maar SSL is in die zin geen oplossing om vrijheid en privacy te waarborgen.

Toch wel. SSL is gewoon digitaal briefgeheim. (maar dan in theorie onkraakbaar) Als ik een brief naar jou stuur, dan kan het postbedrijf (en dus ook de overheid, belastingdienst als ze dat willen, en de postbode, en iedere tussenliggende schakel) zien dat jij een brief krijgt. En als ik de afzender erop heb gezet, kunnen ze zien dat ie van mij afkomstig is. Maar ze zien niet wat erin staat.

En ze zien dat ik een envelop krijg met een afzender-postcode waar de Pabo is gehuisvest.. Maar welke folder daar inzit, dat weten ze niet. En als ik het bijgevoegde bestelformulier opstuur, zien ze ook niet wat ik heb besteld. Wel dàt ik iets opstuur, maar dat kan net zo goed een klachtenbrief zijn.

Verstuurd vanaf mijn Computer®

zondag 26 oktober 2014 15:28

Acties:

0 Henk 'm!

Juup

Hier nog een voorbeeld van een beveiligingsprobleem dat middels https opgelost zou kunnen worden:
nieuws: Beveiligingsonderzoeker vindt Tor exit node die malware in binaries stopt

Kort samengevat: als iemand via Tor of via WiFi een bestand op t.net downloadt, zou een man-in-the-middle de binary kunnen aanpassen.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 1 mei 2015 13:35

Acties:

0 Henk 'm!

CyBeRSPiN

sinds 2001

Wordt toch wel tijd Tweakers HTTPS gaat ondersteunen, dacht aan dit topic toen ik dit las: http://www.nu.nl/internet...rbindingen-uitbannen.html

vrijdag 1 mei 2015 13:48

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

zie plan: Dilemma: moet Tweakers https inzetten? voor meer info, en als Mozilla graag nog meer marketshare wil verliezen moeten ze vooral een groot deel van het internet ontoegankelijk maken

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

woensdag 6 mei 2015 09:56

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

_David_ schreef op vrijdag 01 mei 2015 @ 13:48:
zie plan: Dilemma: moet Tweakers https inzetten? voor meer info, en als Mozilla graag nog meer marketshare wil verliezen moeten ze vooral een groot deel van het internet ontoegankelijk maken

Het is niet alleen Mozarella die dit doet, ook Google; nieuws: Google gaat https-sites hoger zetten in zoekresultaten

Ik heb het sowieso wel raar gevonden dat mijn prima ge-encrypte verbinding die toevallig een ongeldig certificaat gebruikt (maar nog steeds encrypted is) wel een waarschuwing geeft maar een volledig onbeveiligde verbinding niet.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 6 mei 2015 10:19

Acties:

0 Henk 'm!

Mentalist

[avdD]

Kees schreef op woensdag 06 mei 2015 @ 09:56:
[...]

Het is niet alleen Mozarella die dit doet, ook Google; nieuws: Google gaat https-sites hoger zetten in zoekresultaten

Ik heb het sowieso wel raar gevonden dat mijn prima ge-encrypte verbinding die toevallig een ongeldig certificaat gebruikt (maar nog steeds encrypted is) wel een waarschuwing geeft maar een volledig onbeveiligde verbinding niet.

Dat is ook waar ik geen sikkepit van snap. Ik zou zelfs op een persoonlijke site altijd wel https aan willen zetten tegen luistervinkjes, maar gelazer met om het even welke certificate authoriteit of betalen? Dank je feestelijk.

Om deze reden is een .onion haast nog een beter alternatief. Dan heb je geen rare browserwaarschuwingen maar wèl encryptie. Helaas ook een uitermate beperkt publiek. (tenzij mozilla en google standaard tor gaan ondersteunen)

Verstuurd vanaf mijn Computer®

woensdag 6 mei 2015 10:54

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Kees schreef op woensdag 06 mei 2015 @ 09:56:
[...]

Ik heb het sowieso wel raar gevonden dat mijn prima ge-encrypte verbinding die toevallig een ongeldig certificaat gebruikt (maar nog steeds encrypted is) wel een waarschuwing geeft maar een volledig onbeveiligde verbinding niet.

Een onbeveiligde verbinding pretendeert niet veilig te zijn, een beveiligde verbinding met ongeldig certificaat wel. Ik zou niet graag willen zien wat er gebeurt in de scamwereld als die melding weg zou gaan voor SSL-verbindingen met ongeldig certificaat. En de omgekeerde situatie waarin die melding óók geeft voor totaal onbeveiligde sites is ook niet reëel op het huidige web...

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 6 mei 2015 11:35

Acties:

0 Henk 'm!

Juup

W3ird_N3rd schreef op woensdag 06 mei 2015 @ 10:19:
... maar gelazer met om het even welke certificate authoriteit of betalen? Dank je feestelijk.

SSL Certificaten zijn gratis te verkrijgen, o.a. bij StartCom

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 6 mei 2015 11:50

Acties:

0 Henk 'm!

Mentalist

[avdD]

NMe schreef op woensdag 06 mei 2015 @ 10:54:
[...]

Een onbeveiligde verbinding pretendeert niet veilig te zijn, een beveiligde verbinding met ongeldig certificaat wel. Ik zou niet graag willen zien wat er gebeurt in de scamwereld als die melding weg zou gaan voor SSL-verbindingen met ongeldig certificaat. En de omgekeerde situatie waarin die melding óók geeft voor totaal onbeveiligde sites is ook niet reëel op het huidige web...

Maar met een versleutelde verbinding zeg je wel "beveiligd tegen luistervinkjes" en "als je hier eerder bent geweest is een man-in-the-middle aanval niet mogelijk". Dat kan prima met een self-signed certificate. Ook met een .onion bereik je dat. (en die zijn in de toekomst allicht ook met reguliere browsers te bezoeken)

Dat is toch veel beter dan een geheel onversleutelde verbinding?

Juup schreef op woensdag 06 mei 2015 @ 11:35:
[...]

SSL Certificaten zijn gratis te verkrijgen, o.a. bij StartCom

Dat is dus weer gedoe, zo moet je je persoonlijke gegevens overleggen. Als ik een persoonlijke website/server opzet voor een paardenclub of de lokale kerk dan heb ik daar überhaupt geen zin in. En waar betalen ze die procedures van? Het lijkt een soort freemium model te zijn. It's an ingenious solution to a problem that should have never existed in the first place.

Verstuurd vanaf mijn Computer®

woensdag 6 mei 2015 12:10

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

W3ird_N3rd schreef op woensdag 06 mei 2015 @ 11:50:
[...]

Maar met een versleutelde verbinding zeg je wel "beveiligd tegen luistervinkjes" en "als je hier eerder bent geweest is een man-in-the-middle aanval niet mogelijk". Dat kan prima met een self-signed certificate. Ook met een .onion bereik je dat. (en die zijn in de toekomst allicht ook met reguliere browsers te bezoeken)

Dat is toch veel beter dan een geheel onversleutelde verbinding?

Nee, want het betekent niks. Zoals ik al zei: is de nagebouwde bankomgeving van een scammer ineens veilig omdat hij SSL gebruikt? Self-signed certificaten zijn een risico en geven een vals gevoel van veiligheid. Leuk voor jezelf als je de webinterface van je NAS thuis wil beveiligen (en daar werkt het ook zoals je bedoelt) maar zodra je dat zonder melding mogelijk gaat maken voor publieke websites geef je scammers een van de laatste tools die ze nodig hebben om de illusie dat het écht de bank is compleet te maken...

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 6 mei 2015 12:57

Acties:

0 Henk 'm!

Mentalist

[avdD]

NMe schreef op woensdag 06 mei 2015 @ 12:10:
[...]

Nee, want het betekent niks. Zoals ik al zei: is de nagebouwde bankomgeving van een scammer ineens veilig omdat hij SSL gebruikt? Self-signed certificaten zijn een risico en geven een vals gevoel van veiligheid. Leuk voor jezelf als je de webinterface van je NAS thuis wil beveiligen (en daar werkt het ook zoals je bedoelt) maar zodra je dat zonder melding mogelijk gaat maken voor publieke websites geef je scammers een van de laatste tools die ze nodig hebben om de illusie dat het écht de bank is compleet te maken...

Helemaal niet. Diezelfde scammers gebruiken nu gewoon een onbeveiligde verbinding.

Ik zeg niet dat je certificaten geheel overboord moet gooien. Een bank of andere grote partij kan best een certificaat gebruiken. Het zou alleen geen vereiste moeten zijn om versleuteling te gebruiken.

Bij gebruik van een self-signed certificate op een domein wat je browser niet eerder heeft bezocht zou je bijvoorbeeld gewoon een witte adresbalk moeten krijgen. Al dan niet met een slotje of ander icoon. Op de site van je bank krijg je een groene adresbalk met slotje.

Je zou geen waarschuwing moeten krijgen omdat een site versleuteling gebruikt, dat slaat nergens op. Een certificaat/identiteitscontrole staat los van versleuteling. Versleuteling gebruik je om te voorkomen dat een derde partij (ISP, open WiFi AP, proxy, etc) wachtwoorden, bank- en creditcardgegevens kan onderscheppen. Certificaten gebruik je om te verifiëren dat een partij is wie ze zeggen te zijn. Een self-signed certificaat laat je daarbij niet meer weten dan "is dezelfde partij die je eerder hebt bezocht", een echt certificaat zal dan ook betekenen "heeft zijn/haar identiteit ergens bekendgemaakt".

Een waarschuwing zou je alleen moeten krijgen als een site een ongeldig certificaat laat zien of een certificaat dat afwijkt van het certificaat wat je eerder van diezelfde site hebt gekregen.

Aangezien we nu iedereen al "let op het slotje" aan hebben lopen leren is er waarschijnlijk behalve een witte adresbalk ook een ander icoon nodig voor versleuteling.

[ Voor 4% gewijzigd door Mentalist op 06-05-2015 13:08 ]

Verstuurd vanaf mijn Computer®

woensdag 6 mei 2015 13:25

Acties:

0 Henk 'm!

Juup

W3ird_N3rd schreef op woensdag 06 mei 2015 @ 11:50:
Dat is dus weer gedoe, zo moet je je persoonlijke gegevens overleggen. Als ik een persoonlijke website/server opzet voor een paardenclub of de lokale kerk dan heb ik daar überhaupt geen zin in. En waar betalen ze die procedures van? Het lijkt een soort freemium model te zijn. It's an ingenious solution to a problem that should have never existed in the first place.

Dan doe je het niet.
Ben je nu lukraak aan het discussiëren om te discussiëren of probeer je nog naar een bepaald punt toe te werken?

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

woensdag 6 mei 2015 13:27

Acties:

0 Henk 'm!

Mentalist

[avdD]

Juup schreef op woensdag 06 mei 2015 @ 13:25:
[...]

Dan doe je het niet.
Ben je nu lukraak aan het discussiëren om te discussiëren of probeer je nog naar een bepaald punt toe te werken?

Het doel van Mozilla/Google is om onversleutelde websites geheel uit te faseren. Gevolg is dan (als je zoals nu certificaten blijft vereisen) dat eenieder die niet bereid is om een certificaat te bemachtigen/persoonsgegevens af te geven ook geen website meer mag hebben.

Als je punt is dat dat een toekomst is waar we naartoe moeten dan valt daar verder natuurlijk niets tegenin te brengen.

[ Voor 3% gewijzigd door Mentalist op 06-05-2015 13:29 ]

Verstuurd vanaf mijn Computer®

donderdag 25 juni 2015 22:38

Acties:

0 Henk 'm!

Verwijderd

Tegenwoordig kun je met diensten zoals cloudflare gratis https krijgen, dan kan tweakers als een vooraanstaande techsite nota bena natuurlijk niet achterblijven. Het is 2015.

Over performance gesproken, hoe lossen andere sites (met veel verkeer en user content) zoals facebook of reddit dat op?

vrijdag 26 juni 2015 08:47

Acties:

0 Henk 'm!

rob_erwt

What does this button do?

Verwijderd schreef op donderdag 25 juni 2015 @ 22:38:
Over performance gesproken, hoe lossen andere sites (met veel verkeer en user content) zoals facebook of reddit dat op?

Die hosten alle content van derden/gebruikers (plaatjes e.d.) zelf waarschijnlijk, iets dat wij niet willen.

Never underestimate the power of stupid people in large groups

vrijdag 26 juni 2015 09:56

Acties:

0 Henk 'm!

Mentalist

[avdD]

rob_erwt schreef op vrijdag 26 juni 2015 @ 08:47:
[...]

Die hosten alle content van derden/gebruikers (plaatjes e.d.) zelf waarschijnlijk, iets dat wij niet willen.

Op gathering.tweakers.net niet nee, maar op de frontpage kan dat volgens mij wel? (of gaat het dan nog mis met advertenties?)

Krijg je eigenlijk ook mixed-content errors als je 3rd party content in een iframe zou serveren? Tamelijk smerig natuurlijk, maar misschien is daar anders een optie van te maken op gathering.

Verstuurd vanaf mijn Computer®

vrijdag 26 juni 2015 10:21

Acties:

0 Henk 'm!

rob_erwt

What does this button do?

W3ird_N3rd schreef op vrijdag 26 juni 2015 @ 09:56:
[...]

Op gathering.tweakers.net niet nee, maar op de frontpage kan dat volgens mij wel? (of gaat het dan nog mis met advertenties?)

Krijg je eigenlijk ook mixed-content errors als je 3rd party content in een iframe zou serveren? Tamelijk smerig natuurlijk, maar misschien is daar anders een optie van te maken op gathering.

Op de frontpage zit je in ieder geval ook met de productreviews. En ik weet idd ook niet zeker of ons advertentienetwerk er klaar voor zou zijn.

Iframe weet ik zo niet eerlijk gezegd, zo goed heb ik me er niet in verdiept. Wellicht dat kees of een andere devver dat wel heeft gedaan.

Never underestimate the power of stupid people in large groups

vrijdag 26 juni 2015 10:32

Acties:

0 Henk 'm!

Mentalist

[avdD]

rob_erwt schreef op vrijdag 26 juni 2015 @ 10:21:
[...]

Op de frontpage zit je in ieder geval ook met de productreviews.

Ik denk dat het voor productreviews nog wel te doen moet zijn om de plaatjes zelf te hosten. Gebruikers maken daar echt waardevolle content voor Tweakers (maken o.a. de PW aantrekkelijker) dus dat lijkt me niet zo gek.

Dan zit je alleen nog eventueel met video-embeds (ik dacht dat die ook konden in productreviews, maar ik weet het niet zeker) maar dat is geloof ik ook wel werkende te krijgen. YT kan afaik HTTPS, andere videosites zie ik hier nooit in een embed.

Verstuurd vanaf mijn Computer®

vrijdag 26 juni 2015 10:56

Acties:

0 Henk 'm!

Alex)

W3ird_N3rd schreef op vrijdag 26 juni 2015 @ 09:56:
[...]

Krijg je eigenlijk ook mixed-content errors als je 3rd party content in een iframe zou serveren? Tamelijk smerig natuurlijk, maar misschien is daar anders een optie van te maken op gathering.

Ja, ook dan krijg je die mixed content-waarschuwing.

We are shaping the future

vrijdag 26 juni 2015 10:56

Acties:

0 Henk 'm!

DR!5EQ

Ik heb dit topic doorgelezen en ik snap eerlijk gezegd niet waarom een site als tweakers middels SSL bereikbaar zou moeten zijn. Ongeacht of je nou via http of via https gegevens verstuurd, tweakers heeft als het goed is geen gevoelige, privacy gerelateerde informatie over mij (naast mijn e-mail adres).

Dus ik ben ook wel benieuwd waarom tweakers via SSL te benaderen moet zijn...

vrijdag 26 juni 2015 11:55

Acties:

0 Henk 'm!

Mentalist

[avdD]

14ml337 schreef op vrijdag 26 juni 2015 @ 10:56:
Dus ik ben ook wel benieuwd waarom tweakers via SSL te benaderen moet zijn...

In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?

In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.

Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.

Verstuurd vanaf mijn Computer®

vrijdag 26 juni 2015 12:50

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

W3ird_N3rd schreef op vrijdag 26 juni 2015 @ 11:55:
[...]

In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?

In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.

Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.

Maar dan ga je er eigenlijk al vanuit *dat* je gevolgd wordt, en ja dat wordt je ook: door adverteerders, facebook, google en weet ik wat niet, maar daar veranderd HTTPS dan weer niets aan

En dan heb ik het nog niet over 'publiek bekend'. Als je al stiekem gevolgd wordt dan zal de volger er wel voor zorgen dat dat juist niet publiek bekend wordt

Intentionally left blank

vrijdag 26 juni 2015 13:18

Acties:

0 Henk 'm!

Mentalist

[avdD]

crisp schreef op vrijdag 26 juni 2015 @ 12:50:
[...]

Maar dan ga je er eigenlijk al vanuit *dat* je gevolgd wordt, en ja dat wordt je ook: door adverteerders, facebook, google en weet ik wat niet, maar daar veranderd HTTPS dan weer niets aan

Maar dat zijn partijen die Tweakers heeft uitgekozen. Door Tweakers te bezoeken kies je ook voor die partijen.

Maar $randomopenwifispot (en je kan malafide hotspot apparatuur kopen die met opzet zoveel mogelijk data van gebruikers zal proberen te verzamelen) of AMS-IX is niet iets waar je echt voor gekozen hebt.

Krijg je hier ècht problemen mee? Waarschijnlijk niet. Is HTTPS vanuit security- en privacy-oogpunt beter? Dat wel.

En dan heb ik het nog niet over 'publiek bekend'. Als je al stiekem gevolgd wordt dan zal de volger er wel voor zorgen dat dat juist niet publiek bekend wordt

Dat bedoelde ik meer in de zin van "je weet niet wie er meekijkt". Misschien heb je geen problemen met een adverteerder, maar wel met je buurman. Of misschien heb je geen problemen met je buurman, maar wel met de staat. Of geen problemen met de staat, maar wel met je ISP. Als je bijvoorbeeld informatie zoekt over het draaien van een eigen server of TV-kijken zonder decoder, iets wat je misschien van je ISP niet mag.

Kortom, je weet niet of je iets te verbergen hebt en ook niet voor wie. HTTPS is als je hand boven de pinautomaat houden wanneer je je pincode intoetst. Gaat de verkoper of klant achter je misbruik maken van jouw pincode? Ik betwijfel het. Zal je hand je beschermen tegen eenieder die kwade bedoelingen heeft met jouw pincode? Nee, ook niet. Maar het helpt wel.

De afweging is dan natuurlijk: hoe nuttig is HTTPS en hoeveel moeite kost het. Ik vind het raar om te ontkennen dat HTTPS nut heeft. Het heeft imho altijd nut. Maar hoeveel nut, dat kan sterk wisselen. Het is voor DM's nuttiger dan voor gathering. En hoeveel moeite het kost, dat is duidelijk: vrij veel. Ik begrijp de afweging en uitkomst dan ook best, maar ben het niet eens met mensen die menen dat HTTPS voor een site als Tweakers nutteloos is.

Wat ik al eerder zei: zolang HTTPS-everywhere goed werkt is het wmb prima, als gebruiker heb je dan een keuze. Die mixed-content waarschuwingen zullen me aan m'n reet roesten.

[ Voor 5% gewijzigd door Mentalist op 26-06-2015 13:25 ]

Verstuurd vanaf mijn Computer®

vrijdag 26 juni 2015 14:04

Acties:

0 Henk 'm!

incaz

Er was laatst iemand waarvan de werkgever de werknemer aansprak over zaken die op Tweakers werden gezet. Het was een beetje een vaag verhaal, maar het is niet helemaal onaannemelijk. Hoewel er best wat voor te zeggen valt dat je dan niet via je werk moet tweaken, kan het ook best te verdedigen zijn dat je url en andere herleidbare zaken voor je werkgever verbergt, zodat je baas wel weet (en wellicht ook instemt) met je bezoek op tweakers als dat relevant is, maar niet je gebruikersnaam kan traceren of kan zien dat je meeleest in een topic over arbeidsvoorwaarden ofzo, zelfs niet als je bv per ongeluk met je mobiel op de bedrijfswifi zit en in je pauze even kijkt.

Daarvoor kan https een prima middel zijn.

Never explain with stupidity where malice is a better explanation

vrijdag 26 juni 2015 14:43

Acties:

0 Henk 'm!

DR!5EQ

W3ird_N3rd schreef op vrijdag 26 juni 2015 @ 11:55:
[...]

In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?

In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.

Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.

SSL helpt je niet als het gaat om privacy waar je naar toe browsed. Het helpt je bij het versleutelen van informatie die op de pagina evt. zichtbaar is. zoals mijn bsn als ik inlog op mijn overheid bijv.

vrijdag 26 juni 2015 14:49

Acties:

0 Henk 'm!

Alex)

14ml337 schreef op vrijdag 26 juni 2015 @ 14:43:
[...]

SSL helpt je niet als het gaat om privacy waar je naar toe browsed.

Jawel, ook de URL wordt versleuteld. Echter:

1) DNS-lookups gaan via de gewone weg en dat blijft zo, via de DNS-serverlog kan dus worden opgevraagd dat jouw pc heeft gevraagd welk IP bij 'tweakers.net' hoort
2) Als SNI wordt gebruikt, wordt de hostname onversleuteld meegestuurd in het SSL-pakket

We are shaping the future

vrijdag 26 juni 2015 15:26

Acties:

0 Henk 'm!

Mentalist

[avdD]

incaz schreef op vrijdag 26 juni 2015 @ 14:04:
Er was laatst iemand waarvan de werkgever de werknemer aansprak over zaken die op Tweakers werden gezet. Het was een beetje een vaag verhaal, maar het is niet helemaal onaannemelijk. Hoewel er best wat voor te zeggen valt dat je dan niet via je werk moet tweaken, kan het ook best te verdedigen zijn dat je url en andere herleidbare zaken voor je werkgever verbergt, zodat je baas wel weet (en wellicht ook instemt) met je bezoek op tweakers als dat relevant is, maar niet je gebruikersnaam kan traceren of kan zien dat je meeleest in een topic over arbeidsvoorwaarden ofzo, zelfs niet als je bv per ongeluk met je mobiel op de bedrijfswifi zit en in je pauze even kijkt.

Daarvoor kan https een prima middel zijn.

Heel goed punt. Ook een kritische reactie plaatsen over je werkgever kan riskant zijn. Of een positieve shopreview voor de concurrent.

Overigens is het volgens mij vanuit technisch oogpunt praktisch niet te doen om alleen herleidbare zaken of gebruikersnamen over HTTPS te doen. AFAIK gaat bij iedere request een koekje mee met je sessie en zitten er nog een aantal dingen in de pagina zelf waar je de gebruikersnaam uit kan halen. Bovendien kan de werkgever aan je MAC-adres zien dat jij het was. De enige oplossing is dan HTTPS overal toe te passen, of tenminste voor de HTML. Dat plaatjes onversleuteld over de lijn gaan is minder erg, het is lastiger om daar iets uit te herleiden. Met HTTPS-everywhere kan je dat nu al bereiken, alleen krijg je dan mixed-content waarschuwingen. (die mij persoonlijk niet boeien en imho slecht gekozen door de browsermakers)

Alex) schreef op vrijdag 26 juni 2015 @ 14:49:
[...]
Jawel, ook de URL wordt versleuteld. Echter:

1) DNS-lookups gaan via de gewone weg en dat blijft zo, via de DNS-serverlog kan dus worden opgevraagd dat jouw pc heeft gevraagd welk IP bij 'tweakers.net' hoort
2) Als SNI wordt gebruikt, wordt de hostname onversleuteld meegestuurd in het SSL-pakket

Maar daaruit kan je dan nog niet herleiden of iemand een topic over lolcats, C++ of arbeidsvoorwaarden leest.

[ Voor 4% gewijzigd door Mentalist op 26-06-2015 15:29 ]

Verstuurd vanaf mijn Computer®

vrijdag 26 juni 2015 18:39

Acties:

0 Henk 'm!

DR!5EQ

Alex) schreef op vrijdag 26 juni 2015 @ 14:49:
[...]
Jawel, ook de URL wordt versleuteld. Echter:

1) DNS-lookups gaan via de gewone weg en dat blijft zo, via de DNS-serverlog kan dus worden opgevraagd dat jouw pc heeft gevraagd welk IP bij 'tweakers.net' hoort
2) Als SNI wordt gebruikt, wordt de hostname onversleuteld meegestuurd in het SSL-pakket

Asjemenou! Ik ben met stomheid geslagen. Hoe werkt dat?

zie je dan alleen nog https://www.tweakers.net en voor de rest niks?

[ Voor 7% gewijzigd door DR!5EQ op 26-06-2015 18:40 . Reden: lichtelijk aanvulling. was wat summier. ]

vrijdag 26 juni 2015 18:49

Acties:

0 Henk 'm!

Juup

Wat https ook tegenhoudt is een MITM attack (bv op WiFi hotspot) waarbij een file download wordt gemanipuleerd zodat er een virus/trojan/malware wordt geinjecteerd.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 26 juni 2015 18:50

Acties:

0 Henk 'm!

Osiris

14ml337 schreef op vrijdag 26 juni 2015 @ 18:39:
[...]

Asjemenou! Ik ben met stomheid geslagen. Hoe werkt dat?

zie je dan alleen nog https://www.tweakers.net en voor de rest niks?

"Zie je dan".. Da's natuurlijk niet echt heel technisch hè

Lees je eens in hoe HTTP(S) überhaupt werkt en je snapt waarom de URL grotendeels versleuteld wordt.

zaterdag 27 juni 2015 05:00

Acties:

0 Henk 'm!

Alex)

14ml337 schreef op vrijdag 26 juni 2015 @ 18:39:
[...]

Asjemenou! Ik ben met stomheid geslagen. Hoe werkt dat?

zie je dan alleen nog https://www.tweakers.net en voor de rest niks?

Dat hangt van de serverconfiguratie af, met "standaard-SSL" zie je zelfs de hostname niet meer terug in de logboeken of in onderschepte pakketjes. Het enige dat te zien is, is dat er via TCP wordt gecommuniceerd met een bepaald IP-adres, de inhoud van de communicatie is geheel versleuteld.

Er is een nadeel aan "standaard-SSL": het is niet mogelijk om meerdere SSL-versleutelde websites op hetzelfde IP-adres te hosten. Hiervoor zou een extra HTTP-header (Host:) nodig zijn, maar die kan niet worden meeversleuteld omdat de webserver dan niet meer het juiste certificaat kan kiezen. Daarom is er bij het ontwerp van SSL gekozen om enkel op IP-adres te communiceren, zodat certificaatselectie niet nodig is.

Een paar jaar geleden is er een uitbreiding gekomen op het SSL-protocol, SNI genaamd (Server Name Indication), de eerdergenoemde Host-header wordt hiermee alsnog toegevoegd aan het SSL-verkeer. De Host-header gaat onversleuteld over de lijn, zodat de webserver het juiste certificaat kan selecteren wanneer er een SSL-pakketje binnenkomt. De rest van het verkeer is en blijft versleuteld, dat geldt dus ook voor de HTTP-method (GET, POST, ...) en de URL waarop de actie wordt uitgevoerd.

We are shaping the future

zaterdag 4 juli 2015 16:41

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Ik moet toegeven dat ik niet het hele topic heb doorgelezen, maar wanneer gaat Tweakers eens werken aan HTTPS-support?

Aangezien ik de browserextensie HTTPS Everywhere gebruik, zit ik al via HTTPS op Tweakers. Echter, ik heb met een paar dingen nog problemen.

Elke keer dat ik een post verstuur, krijg ik van Firefox de melding dat het form gePOST wordt over een legacy, unencrypted verbinding. Dit is nogal irritant.
Als je een link naar een forumtopic of Pricewatch-product in een post plakt, dan converteert de forumsoftware dit automatisch naar een mooie titel. Dit werkt echter niet als je een HTTPS-link gebruikt.

Verder werkt HTTPS prima op Tweakers, alleen bovenstaande problemen moet even opgelost worden. Ik snap niet dat hier niet meer vaart achter zit, een site als Tweakers zou toch wel site-wide HTTPS moeten hebben.

Gewoon een heel grote verzameling snoertjes

zaterdag 4 juli 2015 16:58

Acties:

0 Henk 'm!

_David_

FP ProMod

llama llama duck

Compizfox schreef op zaterdag 04 juli 2015 @ 16:41:
Ik moet toegeven dat ik niet het hele topic heb doorgelezen, maar wanneer gaat Tweakers eens werken aan HTTPS-support?

Als je het topic had gelezen dan had je een antwoord op die vraag.

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

zaterdag 4 juli 2015 17:32

Acties:

0 Henk 'm!

Mentalist

[avdD]

_David_ schreef op zaterdag 04 juli 2015 @ 16:58:
[...]

Als je het topic had gelezen dan had je een antwoord op die vraag.

Nou, niet helemaal. Wat Compizfox noemt zijn issues die optreden bij gebruik van HTTPS Everywhere. Dat Tweakers niet standaard op HTTPS overgaat kan ik ook best begrijpen ivm advertentienetwerken en third-party embedded content, maar gebruikers van HTTPS Everywhere zijn gewend aan het gezeur van de browser over mixed content.

Het zou Tweakers absoluut sieren als ze de paar bugs die nog optreden bij gebruik van HTTPS Everywhere zouden proberen op te lossen en via die weg de gebruiker de keuze geven om HTTPS te gebruiken. De RML-parser geschikt maken voor HTTPS is sowieso geen slecht idee met het oog op wat mogelijk komt in de toekomst. Wat betreft het posten:

HTML:

<form action="http://gathering.tweakers.net/forum/insert_message/1601768" method="post" id="message_form" class="form2 altmsg1 insertMessage" onsubmit="return this.preview||checknewmessageform(this)">

Ik zou eigenlijk niet weten waarom deze action een absolute link gebruikt?

Verstuurd vanaf mijn Computer®

zaterdag 4 juli 2015 17:58

Acties:

0 Henk 'm!

Alex)

Je zou er vooralsnog omheen kunnen werken met een userscriptje dat het deel "http://" vervangt door "//", maar ideaal is dat natuurlijk niet.

We are shaping the future

zaterdag 4 juli 2015 18:22

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Die absolute link is het probleem helemaal niet, je kan ook prima absolute urls gebruiken zonder protocol, zoals Alex) hierboven al zegt.

Maar stel Tweakers gaat inderdaad de hele codebase nalopen op elk gebruik van harde links over HTTP. Dat kost heel wat werk en dus tijd en geld, en uiteindelijk zijn de enige mensen die je daarmee helpt het handjevol mensen dat per se via HTTPS wil browsen middels een addon terwijl er eigenlijk helemaal geen belangrijke data over de lijn gaat. Inloggen gaat al middels HTTPS en 99% van het andere spul is allemaal publiek of semi-publiek.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zaterdag 4 juli 2015 19:08

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

NMe schreef op zaterdag 04 juli 2015 @ 18:22:
Dat kost heel wat werk en dus tijd en geld, en uiteindelijk zijn de enige mensen die je daarmee helpt het handjevol mensen dat per se via HTTPS wil browsen middels een addon terwijl er eigenlijk helemaal geen belangrijke data over de lijn gaat. Inloggen gaat al middels HTTPS en 99% van het andere spul is allemaal publiek of semi-publiek.

Het maakt niet uit dat er geen "belangrijke data over de lijn gaat". Je moet als streven hebben om het hele internet te encrypten, klaar. Aan half werk heb je niets.

https://www.eff.org/encrypt-the-web

Als je overal HTTPS gebruikt, dan...

kan er niets worden afgeluisterd (door de overheid, of wie dan ook)
weet je zeker dat je echt met Tweakers.net verbonden bent en dat er geen MitM tussen zit
kunnen malware of malicious WiFi-hotspots geen shit injecteren in je verbinding

Had ik al verteld dat Google sites die geen HTTPS gebruiken tegenwoordig straft? Waarom? Nou, HTTP must die.

Site-wide HTTPS met een HSTS-header is trouwens ook de enige maatregel die helpt tegen SSL stripping attacks.

Ik had niet verwacht dat ik dit hier op Tweakers nog moest uitleggen. Hier zouden jullie juist vooruitstrevend in moeten zijn, in plaats van terughoudend.

[ Voor 29% gewijzigd door Compizfox op 04-07-2015 19:18 ]

Gewoon een heel grote verzameling snoertjes

zaterdag 4 juli 2015 19:25

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Ik zeg nergens dat Tweakers niet over SSL moet gaan. Ik zeg dat die laffe tussenoplossing om HTTPS Everywhere aan de praat te krijgen waardeloos is omdat je er stapels tijd mee verspilt en bijna niemand mee helpt.

Ik had niet verwacht dat ik dat uit zou moeten spellen na mijn vorige post. Je zou juist vooruitstrevend moeten zijn in je begrip in plaats van terughoudend.

Gepiqueerd reageren kan ik ook.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.