Dat HTTPS voorkomt dat een werkgever niet mee kan lezen is helemaal geen gegeven. Er zijn er die zo ver gaan om hun HTTP proxy te boel te laten mitm'en door een CA certificaat in de image op te nemen en gewoon on the fly certificaten te genereren.
:strip_icc():strip_exif()/u/51489/heforshe_logo_detail.jpg?f=community){kind=logo}
:strip_exif()/u/47168/loop.gif?f=community)
:strip_icc():strip_exif()/u/110760/ava.jpg?f=community)
:strip_icc():strip_exif()/u/77332/crop5e54ec42433bc_cropped.jpeg?f=community)
Klopt, heb ik niets over te zeggen. Maar het is (inderdaad, naar mijn mening) een zwak argument om ssl op een nieuwssite / vacature openbare site te moeten hebben.
"Ja, er moet ssl worden toegepast, want anders komt mijn baas erachter dat ik onder werktijd surf".
[ Voor 13% gewijzigd door GateKeaper op 24-10-2014 14:55 ]
/u/107051/jeroenmadtrix60.png?f=community)
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
/u/85846/notepad4_resize.png?f=community)
Nvidiot, ik gok dat dat eigenlijk ook al moet kunnen werken, maar dat https everywhere (gebruik het zelf ook 
) deze form target gewoon nog niet herschrijft.
(Om te testen heb ik deze post via https gepost, dus 't moet al kunnen
)
) deze form target gewoon nog niet herschrijft.(Om te testen heb ik deze post via https gepost, dus 't moet al kunnen
)edit:
Hoera, werkt echt, ik doe wel suggestie bij addon maker.
Hoera, werkt echt, ik doe wel suggestie bij addon maker.
[ Voor 12% gewijzigd door Voutloos op 24-10-2014 15:32 ]
{signature}
/u/470671/elephant.png?f=community)
/u/262310/ava.png?f=community)
:strip_exif()/u/306933/ezgif.com-optimize.gif?f=community)
2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI
:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
Ja, maar je post niet via het bedrijfsnetwerk. Het gaat om het lekken van je inlognaam.
Alex): dat was inderdaad de uitzondering waarvan ik nog aan het nadenken was of ik die wel of niet moest posten. Wel dus
Maar chrome rolt idd cert pinning uit.
Never explain with stupidity where malice is a better explanation
:strip_icc():strip_exif()/u/37421/kt666.jpg?f=community)
Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.
:strip_icc():strip_exif()/u/23091/cyberspin.jpg?f=community)
/u/396789/lol1.png?f=community)
zie plan: Dilemma: moet Tweakers https inzetten? voor meer info, en als Mozilla graag nog meer marketshare wil verliezen moeten ze vooral een groot deel van het internet ontoegankelijk maken 
I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.
/u/8/oog3.png?f=community)
Het is niet alleen Mozarella die dit doet, ook Google; nieuws: Google gaat https-sites hoger zetten in zoekresultaten:
zie plan: Dilemma: moet Tweakers https inzetten? voor meer info, en als Mozilla graag nog meer marketshare wil verliezen moeten ze vooral een groot deel van het internet ontoegankelijk maken
Ik heb het sowieso wel raar gevonden dat mijn prima ge-encrypte verbinding die toevallig een ongeldig certificaat gebruikt (maar nog steeds encrypted is) wel een waarschuwing geeft maar een volledig onbeveiligde verbinding niet.
"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.
/u/116320/roberwt.png?f=community)
Ik heb dit topic doorgelezen en ik snap eerlijk gezegd niet waarom een site als tweakers middels SSL bereikbaar zou moeten zijn. Ongeacht of je nou via http of via https gegevens verstuurd, tweakers heeft als het goed is geen gevoelige, privacy gerelateerde informatie over mij (naast mijn e-mail adres).
Dus ik ben ook wel benieuwd waarom tweakers via SSL te benaderen moet zijn...
Dus ik ben ook wel benieuwd waarom tweakers via SSL te benaderen moet zijn...
In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?:
Dus ik ben ook wel benieuwd waarom tweakers via SSL te benaderen moet zijn...
In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.
Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.
Verstuurd vanaf mijn Computer®
:strip_exif()/u/3333/pumpkin_avatar.gif?f=community){kind=avatar}
Maar dan ga je er eigenlijk al vanuit *dat* je gevolgd wordt, en ja dat wordt je ook: door adverteerders, facebook, google en weet ik wat niet, maar daar veranderd HTTPS dan weer niets aan:
[...]
In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?
In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.
Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.
En dan heb ik het nog niet over 'publiek bekend'. Als je al stiekem gevolgd wordt dan zal de volger er wel voor zorgen dat dat juist niet publiek bekend wordt
Intentionally left blank
Maar dat zijn partijen die Tweakers heeft uitgekozen. Door Tweakers te bezoeken kies je ook voor die partijen.:
[...]
Maar dan ga je er eigenlijk al vanuit *dat* je gevolgd wordt, en ja dat wordt je ook: door adverteerders, facebook, google en weet ik wat niet, maar daar veranderd HTTPS dan weer niets aan
Maar $randomopenwifispot (en je kan malafide hotspot apparatuur kopen die met opzet zoveel mogelijk data van gebruikers zal proberen te verzamelen) of AMS-IX is niet iets waar je echt voor gekozen hebt.
Krijg je hier ècht problemen mee? Waarschijnlijk niet. Is HTTPS vanuit security- en privacy-oogpunt beter? Dat wel.
Dat bedoelde ik meer in de zin van "je weet niet wie er meekijkt". Misschien heb je geen problemen met een adverteerder, maar wel met je buurman. Of misschien heb je geen problemen met je buurman, maar wel met de staat. Of geen problemen met de staat, maar wel met je ISP. Als je bijvoorbeeld informatie zoekt over het draaien van een eigen server of TV-kijken zonder decoder, iets wat je misschien van je ISP niet mag.En dan heb ik het nog niet over 'publiek bekend'. Als je al stiekem gevolgd wordt dan zal de volger er wel voor zorgen dat dat juist niet publiek bekend wordt
Kortom, je weet niet of je iets te verbergen hebt en ook niet voor wie. HTTPS is als je hand boven de pinautomaat houden wanneer je je pincode intoetst. Gaat de verkoper of klant achter je misbruik maken van jouw pincode? Ik betwijfel het. Zal je hand je beschermen tegen eenieder die kwade bedoelingen heeft met jouw pincode? Nee, ook niet. Maar het helpt wel.
De afweging is dan natuurlijk: hoe nuttig is HTTPS en hoeveel moeite kost het. Ik vind het raar om te ontkennen dat HTTPS nut heeft. Het heeft imho altijd nut. Maar hoeveel nut, dat kan sterk wisselen. Het is voor DM's nuttiger dan voor gathering. En hoeveel moeite het kost, dat is duidelijk: vrij veel. Ik begrijp de afweging en uitkomst dan ook best, maar ben het niet eens met mensen die menen dat HTTPS voor een site als Tweakers nutteloos is.
Wat ik al eerder zei: zolang HTTPS-everywhere goed werkt is het wmb prima, als gebruiker heb je dan een keuze. Die mixed-content waarschuwingen zullen me aan m'n reet roesten.
[ Voor 5% gewijzigd door Mentalist op 26-06-2015 13:25 ]
Verstuurd vanaf mijn Computer®
SSL helpt je niet als het gaat om privacy waar je naar toe browsed. Het helpt je bij het versleutelen van informatie die op de pagina evt. zichtbaar is. zoals mijn bsn als ik inlog op mijn overheid bijv.:
[...]
In de krant staat ook geen privacygevoelige informatie. Maar zou je het leuk vinden als het publiek bekend zou worden welke artikelen jij precies leest en hoe snel je afhaakt?
In het Nederland van 2015 heb je daar dan nog niet direct problemen mee, maar er zijn genoeg landen waar je dan met recht para mag worden. En wie weet hoe het Nederland van 2025 eruit ziet? Het is simpel: wie het niets aangaat hoeft het ook niet te weten. We redeneren nu meestal omgekeerd: als je het niet hoeft te verbergen, maak het dan maar publiek.
Voor een aanzienlijk deel zijn veiligheid en privacy op veel websites (inclusief Tweakers) afhankelijk van vertrouwen. Vertrouwen is goed, TLS is beter.
Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.
:strip_exif()/u/2087/osiris_ani.gif?f=community)
"Zie je dan".. Da's natuurlijk niet echt heel technisch hè
Lees je eens in hoe HTTP(S) überhaupt werkt en je snapt waarom de URL grotendeels versleuteld wordt.
:strip_icc():strip_exif()/u/286431/crop680f6b95743ca_cropped.jpg?f=community)
I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Ik zeg nergens dat Tweakers niet over SSL moet gaan. Ik zeg dat die laffe tussenoplossing om HTTPS Everywhere aan de praat te krijgen waardeloos is omdat je er stapels tijd mee verspilt en bijna niemand mee helpt.
Ik had niet verwacht dat ik dat uit zou moeten spellen na mijn vorige post. Je zou juist vooruitstrevend moeten zijn in je begrip in plaats van terughoudend.
Gepiqueerd reageren kan ik ook.
Ik had niet verwacht dat ik dat uit zou moeten spellen na mijn vorige post. Je zou juist vooruitstrevend moeten zijn in je begrip in plaats van terughoudend.
Gepiqueerd reageren kan ik ook.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Dat er een absolute URL wordt afgedrukt hoeft niet te betekenen dat hij ook hard zo in de code staat. Dat zou best wel eens configureerbaar kunnen zijn of uit het framework gehaald kunnen worden. Als dat niet het geval is, dan is het inderdaad niet zo netjes. Maar tegelijkertijd niet relevant hier.
Dat levert alleen maar meer werk op omdat je steeds reactief stukjes code moet gaan opzoeken en aanpassen, in plaats van dat je het in één moeite door doet.
Ik zeg niet dat er geen vraag is naar SSL, ik zeg dat je in absolute aantallen bijna niemand helpt door veel tijd te gaan steken in een tussenoplossing als HTTPS Everywhere. Dat Tweakers er ooit een keer aan moet geloven om op HTTPS over te stappen zijn we vast allemaal wel met elkaar eens. Die tussenoplossing om 100% HTTPS Everywhere-compatible te zijn is echter gewoon tijdverspilling, IMO.
Het verschil is dat support daarvoor geen enkel stukje legacy code raakt en gewoon op één plek zit, en niet verspreid over de hele codebase. Totaal niet vergelijkbaar...
Als je baas niet mag zien wat je op Tweakers doet dan is het per definitie niet werkgerelateerd en zou je het niet op je werk moeten doen. Verder heb ik geen cijfers maar ik weet vrij zeker dat de publieke delen van de site veel meer hits krijgen dan de afgeschermde delen.
Ik gebruik niet dat argument. Ik zeg dat er dermate weinig gebruikers zijn die zo op hun privacy gesteld zijn dat ze die addon gebruiken dat het weinig zin heeft om extra tijd te steken in een tussenoplossing.
Nogmaals, absolute links zijn geen bugs.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Dan passen we onze config aan en klaar
Het zorgen voor redirects is dan nog wel het meeste werk, en eigenlijk ook een goede reden om een dergelijke operatie niet te doen.De belangrijkste reden is dat content niet beperkt is tot publicatie via onze website. Denk aan RSS, API's, widgets e.d. waarvoor het heel onpraktisch is om relatieve url's te gebruiken.
Tien jaar geleden konden we daar bij onze bezoekers wel mee wegkomen, maar we zijn ondertussen meer dan alleen een tech-site en een brakke site kunnen we ons niet permitteren.
We houden wel degelijk rekening met https bij alles wat we nu doen, en bugjes ism HTTPS Everywher proberen we ook op te lossen.Dat HE geen form actions rewrite is echter iets dat HE in eerste instantie zelf op zou kunnen lossen.
Daar bieden wij iig niet bewust support voor. Ik zou ook niet weten of het wel of niet werkt bij onze cookiewall...
DM zou m.i. inderdaad via HTTPS moeten gaan, daar is al een ticket voor om dat tzt op te pakken:)
Intentionally left blank
Ook als het in de configuratie zit (daar dacht ik zelf ook al aan) kan ik me nog geen goede reden bedenken waarom dat zo moet in dit geval.:
[...]
Dat er een absolute URL wordt afgedrukt hoeft niet te betekenen dat hij ook hard zo in de code staat. Dat zou best wel eens configureerbaar kunnen zijn of uit het framework gehaald kunnen worden. Als dat niet het geval is, dan is het inderdaad niet zo netjes. Maar tegelijkertijd niet relevant hier.
Wat als je het in de pauze doet?
En dat je liever niet hebt dat je baas het ziet wil niet per defintie zeggen dat het niet werkgerelateerd is. Misschien zei je baas "Ik wil géén X omdat Y!" en ga jij als werknemer dan tòch informatie over X opzoeken om te zien of X ook kan zonder Y om zo tot een betere oplossing te komen.
Maar zodra je baas spot dat jij naar X kijkt zwaait er misschien wel wat.
Ik heb ook geen cijfers, maar bij ruige balsporten krijg je veel vaker een bal tegen je borst/benen/armen dan in je kruis of tegen je hoofd.
De reden dat je toch een beschermer voor je hoofd en je kruis gebruikt.. Juist omdat die plekken kwetsbaarder zijn. Aantal hits heeft er niets mee te maken.
Ik vraag me af hoeveel het er eigenlijk zijn. Maar degenen die het doen zijn denk ik gemiddeld wel users die hier ook veel doen/bijdragen.
Nee, maar features zijn het ook niet.
Valt me nu op dat er inderdaad overal absolute URLs staan.
Ik zou er eens in moeten duiken, maar ik blijf het vreemd vinden dat dit nodig is. Lijkt meer een issue met de programma's die niet met een relatieve URL om kunnen gaan?
Wist ik niet. Dan zal ik dingen melden als ik ze tegenkom.
Eens.
Gegeven trouwens dat dit in een configuratieoptie zit.. Die optie is nu dus fixed. Hoe ernstig zouden de risico's zijn als gebruikers in hun profiel/cookie via die configoptie voor HTTPS kunnen kiezen? Dan zou je alle URLs met het gewenste protocol krijgen. ja dan krijg je mixed content errors, maar so what. opt-in optie voor de echte Tweaker, net als b.v. devicedetect en limit. garantie tot de deur.
Zou heel mooi zijn.
[ Voor 7% gewijzigd door Mentalist op 04-07-2015 20:47 ]
Verstuurd vanaf mijn Computer®
Dan moet je het hele topic even lezen, er zijn wel een aantal goede redenen. Onder meer dat men niet weet of advertentienetwerken ermee overweg kunnen en het feit dat gebruikers plaatjes van externe hosts kunnen posten.
Het feit dat browsers zo janken over mixed content terwijl ze geen enkel probleem hebben met http maakt de overstap minder aantrekkelijk. Daar kan t.net niks aan doen. Hetzelfde met browsers die janken over self-signed certificaten (https zonder certificaat mag niet), dat maakt het onaantrekkelijk voor een hobbysite. Maar http is prima.
[ Voor 8% gewijzigd door Mentalist op 04-07-2015 20:52 ]
Verstuurd vanaf mijn Computer®
Hmmm, daar heb ik nooit last van gehad terwijl ik Tweakers wel bezoek via HTTPS. Is het toevallig Chrome in het bijzonder die daar moeilijk over doet? In Firefox krijg je alleen een waarschuwing in de adresbalk over mixed content, maar geen popup over iets dergelijks.
Tja, maar dat heeft wel een reden natuurlijk: met een self-signed certificaat valt de authenticiteit van de server niet vast te stellen.Hetzelfde met browsers die janken over self-signed certificaten (https zonder certificaat mag niet), dat maakt het onaantrekkelijk voor een hobbysite. Maar http is prima.
Als je bij een site die wél HTTPS (met echt certificaat) gebruikt ineens een self-signed certificaat voorgeschoteld krijgt, dan weet je dat er iets mis is (waarschijnlijk een MitM-attack). Maar je hebt wel een punt: eigenlijk zouden browsers dan ook moeilijk moeten doen over HTTP.
Ik ben het dus wel met je eens dat browsers self-signed certificaten zouden moeten accepteren (met passieve waarschuwing in adresbalk, net als bij mixed content), tenzij er een HSTS-header is geset natuurlijk.
[ Voor 44% gewijzigd door Compizfox op 04-07-2015 21:32 ]
Gewoon een heel grote verzameling snoertjes
:strip_exif()/u/41306/web_anim.gif?f=community)
Sinds recent heb ik ook HTTPS Everywhere draaien. En dan valt het inderdaad op dat tweakers het gewoon niet goed voor elkaar heeft. Ja, en ik zie alle redenen daarvoor langskomen, maar géén daarvan vind ik overtuigend om het niet te doen. Voor mij zou het ook gewoon beroepseer zijn om het voor elkaar te krijgen. Tweakers krijgt van mij daarvoor puntenaftrek van hun Nerd Score. Just my €0.02.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Voor specifiek die melding moet H-E de URL van een form rewriten.. Al zou het aardig zijn als je de baseURL van t.net zelf aan kan passen zou dit ook in H-E aangepast moeten worden.
De meldingen door mixed content zijn niet te voorkomen, dat is gewoon fout gedrag van browsers.
Verstuurd vanaf mijn Computer®
Die melding hierboven is geen melding over mixed content. Het is een waarschuwing dat het form wordt gepost over HTTP, terwijl de website wordt bekeken over HTTPS.:
[...]
De meldingen door mixed content zijn niet te voorkomen, dat is gewoon fout gedrag van browsers.
Ik heb onder Firefox nog nooit een popup gehad over mixed content trouwens. Ik krijg enkel een ander icoontje in de adresbalk, wat prima gedrag is wat mij betreft. Is dat niet alleen IE die in zo'n geval een popup geeft? Of doet Chrome dat ook?
En ik erger me er ook flink aan (al is het gaan wennen). Het punt is is dat het heel simpel op te lossen is. Nu staat het protocol van de form action er hardcoded in (http://gathering.tweakers.net/forum/insert_message/1601768 bijvoorbeeld). Als je daar //gathering.tweakers.net/forum/insert_message/1601768 ben je al klaar...
Sterker nog, die URL hoeft helemaal niet absoluut te zijn. Een nog veel logischere oplossing is om er gewoon forum/insert_message/1601768 van te maken. Ik snap dan ook niet dat dat niet gewoon gedaan wordt.
En ja, ik vind dit eigenlijk best wel vallen onder dat "Tweakers het niet goed voor elkaar heeft". Zo'n absolute URL in een form action is om precies deze reden een slecht idee.
[ Voor 31% gewijzigd door Compizfox op 07-10-2015 23:38 ]
Gewoon een heel grote verzameling snoertjes
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
/u/13757/Avatar60px.png?f=community){kind=avatar}
Al meer dan 2000 dagelijkse videos op AmsterdamVideo ||| Bier geeft plezier! Untappd je mee?
Maar bij gebruik van de zoekfunctie krijg je die melding niet. Dat is het rare. Overigens:
Als alle grote browsers het zo gaan doen staat niets https voor t.net meer in de weg volgens mij.
Verstuurd vanaf mijn Computer®
Ja
Wij zijn een grote website met behoorlijk wat legacy (zowel in code als in content), dus het is niet zo makkelijk om om te switchen (en mixed content daarbij te voorkomen). Voor sites als Facebook en Twitter is dit een stuk makkelijker...
Intentionally left blank
Ja, want een gebruiker weet dan niet welk deel van het verkeer wel secure is en welk deel niet, en daarmee mis je dan eigenlijk het doel
Als je het doet moet je het goed doen. Ons idee is om non-secure content (voor zover we dat niet kunnen omzetten naar https wat we voor de meestgebruikte externe domeinen zullen moeten onderzoeken) soort van click-to-activate te maken, of wellicht een voorkeurkeuze voor bezoekers.Maar op dit moment kan ik verder geen uitspraken doen over of en wanneer we hiermee aan de slag gaan. We hebben nog wel meer wensen liggen, en sec gezien is voor onszelf de noodzaak ook niet zo heel groot (we zijn ook geen bank of belastingdienst
). Wel merken we dat gebruikers het wel heel belangrijk vinden en het ook steeds meer gaan verwachten (waarvan akte hierboven dus )
Intentionally left blank
Da's wel een errûg ouderwetse gedachte hoor:
[...]
(…) en sec gezien is voor onszelf de noodzaak ook niet zo heel groot (we zijn ook geen bank of belastingdienst
Denk aan initiatieven als Let's Encrypt die als doel heeft het complete web te TLS-eren d.m.v. gratis DV-certificaten.
Non-HTTPS-verkeer is simpelweg zooo 2014!
Bij zelf hosten komt weer aansprakelijkheid kijken (auteursrechten e.d.). Proxy geeft weer een hoop extra dataverkeer. En zoals je zegt zullen de meeste externe imagehosters wel https ondersteunen, dus kunnen we dat net zo goed gewoon omzetten in de content
Intentionally left blank
Denken dat https je veiligheid en privacy geeft is zooo 2016 (maar best wel naief:
[...]
Da's wel een errûg ouderwetse gedachte hoor
Denk aan initiatieven als Let's Encrypt die als doel heeft het complete web te TLS-eren d.m.v. gratis DV-certificaten.
Non-HTTPS-verkeer is simpelweg zooo 2014!
)
Intentionally left blank
Depends, bedoel je zaken als SNI, waardoor een deel alsnog zichtbaar is bij een MitM of bedoel je dat `secp521r1` (of de andere 2 standaard curves) een onveilige curve is en daardoor door de NSA te kraken?:
[...]
Denken dat https je veiligheid en privacy geeft is zooo 2016 (maar best wel naief
[ Voor 12% gewijzigd door Osiris op 21-01-2016 17:26 ]
Verwijderd
Een beetje grote site dat zichzelf serieus neemt heeft wel een certificaat van een bekende CA als Symantec, of Comodo. Let's Encrypt is denk ik meer voor de wat kleinere websites.:
[...]
Da's wel een errûg ouderwetse gedachte hoor
Denk aan initiatieven als Let's Encrypt die als doel heeft het complete web te TLS-eren d.m.v. gratis DV-certificaten.
Non-HTTPS-verkeer is simpelweg zooo 2014!
Ik zei ook niet dat T.net gebruik van LE moest gaan maken
Sowieso hebben ze allang een certificaat, volgens mij zelfs met wildcard
[ Voor 9% gewijzigd door Osiris op 21-01-2016 17:36 ]
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Ik bedoel dat het niet iets is wat je beschermt tegen malware, tracking of zelfs dit soort praktijken... Het is geen wondermiddel, en een groen slotje is geen garantie. Voor de doorsnee internetter biedt het niet veel meer dan een gevoel van (schijn?)veiligheid, en juist weer onterecht ongerustheid als ze met foutmeldingen worden geconfronteerd als ze een of andere hobbysite per ongeluk via https bezoeken
Intentionally left blank
Maar da's ook helemaal niet de gedachte van de hedendaagse opinie van sommigen/velen over het gebruik van TLS: het gaat simpelweg niemand wat aan welke nieuwsposts/topics mij interesseren. Het hele web zou achter TLS moeten hangen. Ook al is de site nog zo nutteloos/oninteressant
Dat claim ik gelukkig dan ook niet:
[...]
Ik bedoel dat het niet iets is wat je beschermt tegen malware, tracking of zelfs dit soort praktijken... Het is geen wondermiddel, en een groen slotje is geen garantie. Voor de doorsnee internetter biedt het niet veel meer dan een gevoel van (schijn?)veiligheid, en juist weer onterecht ongerustheid als ze met foutmeldingen worden geconfronteerd als ze een of andere hobbysite per ongeluk via https bezoeken
DV-certificaten zijn sowieso geen reden om de site ultiem vertrouwen toe te kennen. Projecten als LE die een 100 % coverage van TLS nastreven, zal daarin mogelijk een cultuurverschuiving teweeg brengen: elk random (sub)domein kan achter een groen slotje zitten en een groen slotje van een DV-certificaat zegt in principe niets over de veiligheid van die site zélf. En da's sowieso altijd al zo geweest, maar nu wordt 't hooguit wat "reeëler" nu elke puisterige tiener een gratis certificaat kan krijgen. Konden ze sowieso al overigens
En hobbysites zul je altijd blijven houden, inc self signed certificaten enzo
[ Voor 46% gewijzigd door Osiris op 21-01-2016 17:47 ]
Yep, en daarom ook mijn mening dat *als* we hier https gaan ondersteunen we dat ook goed moeten doen (en dus ook mixed content moeten voorkomen):
[...]
En hobbysites zul je altijd blijven houden, inc self signed certificaten enzo
Intentionally left blank
Uiteraard.. En da's ook allemaal niet zo makkelijk.:
[...]
Yep, en daarom ook mijn mening dat *als* we hier https gaan ondersteunen we dat ook goed moeten doen (en dus ook mixed content moeten voorkomen)
D'r zijn ook forumsoftwares die volledig automagisch plaatjes lokaal backuppen enzo, maar dan zit je weer met zaken als storage space en eventueel copyright e.d..
Je zóu theoretisch ook een soort TLS enabled image-proxy kunnen maken: on-the-fly 't plaatje vanaf die proxy downloaden en doorpaassen naar de client via TLS. Maar dan zit je weer met nóg meer CPU-verbruik
Maargoed, da's iets voor jullie om te bedenken
Wij willen gewoon TLS
[ Voor 4% gewijzigd door Osiris op 21-01-2016 18:05 ]
/u/1830/acm.png?f=community)
