Secure login

en wat vind jij secure?

Tsja, da's niet goedkoop (een https-certificaat). Een optie is om gewoon WEP te gebruiken bij je draadloze netwerk...

Of het MT van t.net een paar euro's overheeft voor een https-certificaat weet ik niet

https is ook niet waterdicht.

Geen een beveiliging is waterdicht.

Ook wel eens leuk om iemand boven zijn eigen post te quoten

Wouter Tinus schreef op 21 juli 2003 @ 22:48:
Je hebt toch niet per se een door Verisign (of andere TTP) vertrouwd certificaat nodig? Je moet een extra security warning wegklikken als je dat niet hebt, maar ja..

Of gewoon het certificaat openbaar maken zodat iedereen die toe kan voegen aan zn "vertrouwde uitgevers" lijst.
En het probleem is opgelost
https brengt wel wat extra server belasting mee.

[ Voor 89% gewijzigd door Verwijderd op 21-07-2003 22:52 ]

Je hebt toch niet per se een door Verisign (of andere TTP) vertrouwd certificaat nodig? Je moet een extra security warning wegklikken als je dat niet hebt, maar ja..

blender schreef op 21 juli 2003 @ 22:50:
Een SSL certificaat (voor https) is helemaal niet zo heel erg duur, kijk maar eens op www.freessl.com daar kun je al voor $35 per jaar een SSL certificaat kopen.

En waarom is https niet waterdicht?

ivm de man-in-the-middle, al is dat niet echt eenvoudig (toch een error dat certificaat niet geldig is, maar genoeg mensen die dat niet 'snappen')

blender schreef op 21 July 2003 @ 22:50:
Een SSL certificaat (voor https) is helemaal niet zo heel erg duur, kijk maar eens op www.freessl.com daar kun je al voor $35 per jaar een SSL certificaat kopen.

"al voor"... zijn er meerdere varianten dan? Of is het gewoon 35 $ per jaar?

En waarom is https niet waterdicht?

Geen idee . niets is waterdicht he? Maar als het er komt, zou het met een pref perse aan te zetten moeten zijn en standaard uitmoeten, ik heb er namelijk geen behoefte aan

[ Voor 19% gewijzigd door JvS op 21-07-2003 22:56 ]

Er zijn meerdere varianten en meerdere aanbieders (CA's) waarvan Verisign wel zo'n beetje de duurste en ook de bekendste is. Op www.whichssl.org kun je een prijsvergelijking maken (misschien iets voor in de pricewatch )

En niets is waterdicht maar voor wat de TS wil, is https prima geschikt. Een Man-in-the-Middle attack is erg lastig hoor, je moet al op hetzelfde netwerk segment zitten enzo en we hebben het hier nou niet echt over bankzaken ofzo...

Daarnaast zorgt het voor extra workload op de servers (zo tussen haakjes).

chem schreef op 21 July 2003 @ 22:53:
[...]

ivm de man-in-the-middle, al is dat niet echt eenvoudig (toch een error dat certificaat niet geldig is, maar genoeg mensen die dat niet 'snappen')

Leg effe uit dat met certificaat handelingen een man-in-the-middle probleem kan optreden? Even uitgaande van een standaard x509 certificaatje getekend aan beide kanten door verisign.
Het idee is wel dat je dit doet over een _nog niet_ secure lijn. Maar voor je de secure lijn opzet gaan party A en B 'mutual authentication' opzetten met hun getekende certificaatjes.
Als je deze vertrouwens band heb (en je weet zeker dat je met de juiste persoon babbeld) dan bouw je een secure lijn op.

Als je al je draadloze verkeer nu via https of ssh of iets dat iig op een ssl is gebaseerd met een leuk aantal encryptie bits, dan is het probleem niet echt aanwezig.

Uiteraard niet je private key zo eventjes weggeven en het aantal bits van een aannemelijk aantal nemen op je secure socket (niet te hoog ivm verwerkingstijd van je datapakketten). Ieder tcp/ip pakketje kan je versleutelen op deze manier.
Dus tja ... hoever wil je gaan?

[ Voor 28% gewijzigd door VisionMaster op 21-07-2003 23:44 ]

chem schreef op 21 July 2003 @ 22:30:
Tsja, da's niet goedkoop (een https-certificaat). Een optie is om gewoon WEP te gebruiken bij je draadloze netwerk...

Of het MT van t.net een paar euro's overheeft voor een https-certificaat weet ik niet

https biedt ook zonder certificaat al extra veiligheid.

chem schreef op 21 juli 2003 @ 23:31:
Daarnaast zorgt het voor extra workload op de servers (zo tussen haakjes).

Uiteraard moeten de servers tijdens de loginprocedure data via https ontvangen en versturen maar dat is alleen tijdens het inloggen omdat dat het enige moment is (hopelijk) waarop je wachtwoord wordt verstuurd. Ik denk dat de servers dat wel zullen trekken

blender schreef op 22 July 2003 @ 08:51:
[...]
Uiteraard moeten de servers tijdens de loginprocedure data via https ontvangen en versturen maar dat is alleen tijdens het inloggen omdat dat het enige moment is (hopelijk) waarop je wachtwoord wordt verstuurd. Ik denk dat de servers dat wel zullen trekken

Ik hoop niet dat mijn wachtwoord, maar een certificaat wordt verstuurd over de https. Al kan het ook met een wachtwoord via een DES encryptie, maar vind ik zelf redelijk nutteloos, althans het ligt er aan wat je er mee doet. De grote kracht is er vanaf.

https biedt ook zonder certificaat al extra veiligheid.

Als low-medium security voldoende is voor wat data om het niet direct plain-text te verzenden dan is dit een zeer goede, goedkope en eenvoudige oplossing.
Er zijn twee manieren van https gebruik. Een eenvoudig gebruik is dat het alleen wordt gebruikt voor authenticatie (wie is die dude aan de andere kant van de verbinding, is het wel degen die ik verwacht en heeft hij de waarheid gesproken over zijn vermeende digitale identiteit). Maar dan houdt https in eens op en zou je er dus vanuit moeten gaan dat het persoon de juiste identiteit heeft en klaar. Einde security.
Een beter oplossing die wat intenser is op je dataflow (het blijven dezelfde tcp/ip datapakketten alleen de data wordt versleuteld => cpu kracht nodig => data encryptie tijd) is dat de hele verbinding na authenticatie in de secure modus blijft werken.

[ Voor 16% gewijzigd door VisionMaster op 22-07-2003 09:42 ]

Uhm, is het heel erg als ik zeg dat dit topic niet op LA hoort?

Verwijderd schreef op 22 juli 2003 @ 09:41:
Uhm, is het heel erg als ik zeg dat dit topic niet op LA hoort?

Uhm ... oei ... iemand met mod. rechten die het kan verschuiven

blender schreef op 22 July 2003 @ 08:51:
[...]


Uiteraard moeten de servers tijdens de loginprocedure data via https ontvangen en versturen maar dat is alleen tijdens het inloggen omdat dat het enige moment is (hopelijk) waarop je wachtwoord wordt verstuurd. Ik denk dat de servers dat wel zullen trekken

Lekker nutteloos dan

Is de informatie die men op GoT post zo geheim en belangrijk dan, dat dat SSL-certificaten rechtvaardigt? Wat zijn je argumenten daarvoor?

Als het alleen maar voor het inloggen is: ik denk niet dat er veel mensen zijn die gaan proberen op het precieze tijdstip dat jij gaat inloggen jouw inloggegevens gaan afvangen. En al deden ze dat wel: stel je ziet een post op het forum die niet van jouw hand is, dan kan je dat best, met goede argumentatie, kenbaar maken aan de mods.

En als je alles weer keurig uitlogt na geGoT te hebben, is er weinig aan de hand, lijkt mij zo.

Het probleem is niet dat de data geheim is, maar het password. Er zijn nl. veel mensen (bijna iedereen?) die een aantal vaste username/password combinaties gebruiken omdat je dus op allerlei websites in moet loggen. Wie weet gebruiken ze die ook op hun werk, of voor hun laptop...

Even een vraag tussendoor, kan alle mods je passwoord ook zien, of is dit alleen weggelegd voor bepaalde mods.

pinockio schreef op 22 July 2003 @ 10:24:
Het probleem is niet dat de data geheim is, maar het password. Er zijn nl. veel mensen (bijna iedereen?) die een aantal vaste username/password combinaties gebruiken omdat je dus op allerlei websites in moet loggen. Wie weet gebruiken ze die ook op hun werk, of voor hun laptop...

Ja, dan moet je jezelf toch een andere password-policy aanmeten..

Verwijderd schreef op 22 July 2003 @ 10:45:
Even een vraag tussendoor, kan alle mods je passwoord ook zien, of is dit alleen weggelegd voor bepaalde mods.

Ik denk dat de passwords md5-encrypted in de database staan.

Verwijderd schreef op 22 July 2003 @ 10:45:
Even een vraag tussendoor, kan alle mods je passwoord ook zien, of is dit alleen weggelegd voor bepaalde mods.

Vergeet het maar. Password staat geencrypted in de database en die kan een moderator / admin niet zomaar zien

_{WAB, er is een 2de pagina, misschien is daar de vraag al beantwoord .
/laat}

[ Voor 13% gewijzigd door We Are Borg op 22-07-2003 10:56 ]

RedRose schreef op 22 July 2003 @ 10:47:

Ik denk dat de passwords md5-encrypted in de database staan.

We Are Borg schreef op 22 July 2003 @ 10:55:
[...]


Vergeet het maar Password staat geencrypted in de database en die kan een moderator / admin niet zomaar zien

Oh op z'n manier, ik had mij daar nooit zo in verdiept, maar thx in iedergeval, weet ik dat ook weer.

Nee hoor we are borg, want het ging mij er ook om of de admin het kunnen zien, dus je andtwoord was nuttig voor mij, thx.

[ Voor 14% gewijzigd door Verwijderd op 22-07-2003 11:20 ]

pinockio schreef op 22 July 2003 @ 10:24:
Het probleem is niet dat de data geheim is, maar het password. Er zijn nl. veel mensen (bijna iedereen?) die een aantal vaste username/password combinaties gebruiken omdat je dus op allerlei websites in moet loggen. Wie weet gebruiken ze die ook op hun werk, of voor hun laptop...

Dan ben je wel erg stom als je dat doet.

Ik denk niet dat veel tweakers dat doen. Ik gebruik zelf zon 10 verschillende passwords die ong 9 karakters bevatten.

Verwijderd schreef op 22 July 2003 @ 11:02:
[...]


Dan ben je wel erg stom als je dat doet.

Ik denk niet dat veel tweakers dat doen. Ik gebruik zelf zon 10 verschillende passwords die ong 9 karakters bevatten.

Ik 5
Vaste combi username en passwd meestal anders is het niet meer bij te houden. Ik gebruik ook graag 1 combinatie graag voor nutteloze internet doeleinden en weer een ander voor zoiets als tweakers en nog een paar zaken.
Voor de workstations en server weer een andere set

Maaruh ... voor degene die het nog niet hadden bedacht, de reden waarom er met username/wachtwoord wordt gebruikt is om aan te tonen wie jij bent en dat je niet even iets misbruikt. Dus niet om gegevens te encrypten ... daar waar het eerst om ging

Verwijderd schreef op 22 July 2003 @ 11:02:
[...]


Dan ben je wel erg stom als je dat doet.

Ik denk niet dat veel tweakers dat doen. Ik gebruik zelf zon 10 verschillende passwords die ong 9 karakters bevatten.

Nou eerlijk gezegd doe ik dat ook, ik gebruik overal de zelfde password voor, maar als ik dat dan zo hoor, moet ik dat maar eens veranderen.
Ik deed het meer omdat ik soms de password vergeten was, toen dacht ik, ach ik gebruik overal hetzelfde password voor.

PolarBear schreef op 21 July 2003 @ 22:25:
Waarom is het niet mogelijk om secure in te loggen. Zeker nu is een laptop heb en me vaak draadloos op het internet bevindt zou ik het handig vinden om secure in te kunnen loggen. (ik vertrouw al die louche netwerken niet ;-) )

Je communicatie van je laptop wordt echt niet ineens veiliger door een https-verbinding hier op GoT.

Als je bang bent voor problemen met die louche netwerken zet dan ergens een 128bits-encrypyted VPN-server op en log daarop in met je laptop, daarmee kan je perfect beheren wat jij veilig vindt. Doe dat via WEP en het is nog ietjes meer encrypted (niet perse veiliger overigens).

Wouter Tinus schreef op 21 July 2003 @ 22:48:
Je hebt toch niet per se een door Verisign (of andere TTP) vertrouwd certificaat nodig? Je moet een extra security warning wegklikken als je dat niet hebt, maar ja..

Dat is officieel alleen wenselijk om te bewijzen dat wij betrouwbaar zijn, maar ook een goed middel om te bewijzen dat ons certificaat ook echt van ons is.

blender schreef op 21 July 2003 @ 22:50:
Een SSL certificaat (voor https) is helemaal niet zo heel erg duur, kijk maar eens op www.freessl.com daar kun je al voor $35 per jaar een SSL certificaat kopen.

Ik betwijfel of zij het leuk vinden als wij met onze hightraffic-site daar zo'n cheapass certificaatje scoren.

blender schreef op 21 July 2003 @ 22:52:
Wilde het nog bij mijn post zetten maar heb het niet gedaan omdat het wel minder professioneel staat natuurlijk. Wat je bedoelt is het gebruik van een selfsigned certificaat. De CA is dan onbekend en daarover gaat je browser mekkeren. Als je hem 1x importeert ben je daar trouwens ook vanaf maar dat terzijde...

En dus ziet niemand het dat het certificaat een keer niet bij tweakers.net vandaan komt, maar bij een of andere hackende site. Dat is niet echt een risico dat we zouden moeten willen lopen, hoewel het klein is en er geen grote schade op zal treden voor onze gebruikers.

VisionMaster schreef op 21 July 2003 @ 23:40:
Even uitgaande van een standaard x509 certificaatje getekend aan beide kanten door verisign.

Ow jajajaaa, dat is ook echt kostentechnisch een acceptabele manier voor een login op een forum
Even al onze lieve gebruikers van een personalized, clientside httpscertificaat voorzien.

Verwijderd schreef op 22 July 2003 @ 03:09:
https biedt ook zonder certificaat al extra veiligheid.

Kewl, hoe stel ik apache in dat ie zonder certificaat met een browser kan communiceren via https
Volgens mij KAN ssl niet zonder (tijdelijke) certificaten werken of wel?

blender schreef op 22 July 2003 @ 08:51:
Uiteraard moeten de servers tijdens de loginprocedure data via https ontvangen en versturen maar dat is alleen tijdens het inloggen omdat dat het enige moment is (hopelijk) waarop je wachtwoord wordt verstuurd. Ik denk dat de servers dat wel zullen trekken

Je sessie-id is een bijna net zo'n gevaarlijk (en makkelijker te verkrijgen) gegeven hoor, dat moet je dan ook versleutelen... en die gaat dus elke request mee.

Als ik apt-get install apache-ssl intoets heb ik een https webserver

Steven schreef op 22 July 2003 @ 12:09:
Als ik apt-get install apache-ssl intoets heb ik een https webserver

Nee dan heb je een webserver die met ssl kan communiceren. Wat je daarna nog nodig hebt is een ssl certificaat, maar het kan zijn dat Debian dat tijdens de installatie al voor je aanmaakt met dummygegevens ofzo.

Prima trouwens dat iedereen verschillende wachtwoorden gebruikt maar wat is de kracht van een wachtwoord als je het vergeten bent en je kunt het niet meer achterhalen? Dat gebeurt tegenwoordig ook steeds vaker. Ook admins/mods kunnen er niet bij om redenen die al genoemd zijn (MD5/SHA encryptie, petje af overigens).

Het doel van https is trouwens altijd 2-ledig. Ten eerste staat een TTP (Verisign of wie ook) garant voor de identiteit van de server en ten tweede is al het verkeer na de https/ssl handshake encrypted.

2-way ssl is erg grappig maar een BEETJE dure grap idd oh ja, en misschien een klein (kweeniehoor) tikkie overbodig hier.

Een groot voordeel van een https-login zou zijn dat het wachtwoord niet meer unencrypted verstuurd wordt, en hierdoor niet zomaar via gebruik van proxy's of routers te sniffen.

Zeker bij het gebruik van gedeelde netwerken in studentenhuizen, of misschien zelf in bedrijven bestaat er een zeker theoretisch risico van het afluisteren van wachtwoorden.

Maar voor een goede waardering van de wenselijkheid moet je een risico-inschatting maken;
Voor mij persoonlijk schat ik die erg laag tot bijna nihil in, gebaseerd op voorgekomen gevallen van account-inbraak; waar dit voorkomt is het in zeker 95% van de gevallen gewoon het vergeten van de logout, ik ken geen geval waar het sniffen van een passwoord dat door https voorkomen had kunnen worden, hier problemen heeft veroorzaakt (maar hierover heb ik ook geen complete blik).

Het mi. ontbreken van eerdere problemen leidt ook tot een lage inschatting van toekomstige problemen hierbij, hoewel een https login me persoonlijk wel zou bevallen, denk ik niet dat er een hoge (of zelfs maar middelgrote) prioriteit op zit.

Kan het me allemaal voorstellen RM-rf maar het wordt nu een beetje opgeblazen vrees ik. Het is niet zo'n big deal om het te implementeren volgens mij en dat het niet duur hoeft te zijn is eerder in het topic ook al naar voren gekomen.

Als het enige probleem het plain text versturen van het wachtwoord is, waarom dan niet gewoon een simpel javascript dat client side een md5 hash van het ww maakt en deze naar de server verstuurd ?
Het kan dan idd nog wel opgepikt worden, maar het ww is daar nooit meer uit te halen.

[ Voor 19% gewijzigd door Verwijderd op 22-07-2003 12:31 ]

Verwijderd schreef op 22 July 2003 @ 12:30:
Als het enige probleem het plain text versturen van het wachtwoord is, waarom dan niet gewoon een simpel javascript dat client side een md5 hash van het ww maakt en deze naar de server verstuurd ?
Het kan dan idd nog wel opgepikt worden, maar het ww is daar nooit meer uit te halen.

Dan is het hele idee van een MD5 hash overbodig... je stuurt dan de MD5 hash naar de server en die wordt dan misschien nog wel een keer gehashd maar als je die hash naar de server kunt sturen ben je binnen natuurlijk...

blender schreef op 22 July 2003 @ 12:23:
..het wordt nu een beetje opgeblazen vrees ik..

beide punten worden opgeblazen, implementatie van een https-login zou an sich niet moeilijk moeten zijn (en ik kan me voorstellen dat meer klanten van parse hier behoefte toe zouden hebben), qua kosten kost het misschien een paar manuur en wat overleg over hoe dit specifiek op te lossen.

Maar wat ook opgeblazen wordt is het nut:
dat nut is zo goed als nihil, het is enkel een schijn-veiligheid, aangezien het problemen oplost die tot nu toe niet voorkomen.

In die zin is het een leuk verhaaltje voor consultants of journalisten (meen dat in de Computertotaal ooit een suggestief artikel stond over het ontbreken van versleutelde logins, waarbij een screenshot van Tnet stond).
maar op feiten gebaseerd is er weinig grond toe.

Het zou meer zin hebben de logout-mogelijkheid mensen wat meer te pushen

RM-rf schreef op 22 July 2003 @ 12:40:
[...]
Het zou meer zin hebben de logout-mogelijkheid mensen wat meer te pushen

Geen speld tussen te krijgen. De logout zou je eventueel nog standaard van een timeout kunnen voorzien die aan te passen of uit te schakelen is. Dat in combinatie met wat er nu al is (alle sessies uitloggen) is volgens mij een behoorlijk afdoende maatregel.

RM-rf schreef op 22 July 2003 @ 12:20:
Een groot voordeel van een https-login zou zijn dat het wachtwoord niet meer unencrypted verstuurd wordt, en hierdoor niet zomaar via gebruik van proxy's of routers te sniffen.

Zeker bij het gebruik van gedeelde netwerken in studentenhuizen, of misschien zelf in bedrijven bestaat er een zeker theoretisch risico van het afluisteren van wachtwoorden.

Maar voor een goede waardering van de wenselijkheid moet je een risico-inschatting maken;
Voor mij persoonlijk schat ik die erg laag tot bijna nihil in, gebaseerd op voorgekomen gevallen van account-inbraak; waar dit voorkomt is het in zeker 95% van de gevallen gewoon het vergeten van de logout, ik ken geen geval waar het sniffen van een passwoord dat door https voorkomen had kunnen worden, hier problemen heeft veroorzaakt (maar hierover heb ik ook geen complete blik).

Het mi. ontbreken van eerdere problemen leidt ook tot een lage inschatting van toekomstige problemen hierbij, hoewel een https login me persoonlijk wel zou bevallen, denk ik niet dat er een hoge (of zelfs maar middelgrote) prioriteit op zit.

Nog een vraagje dan, je zei de inbraak komt door het vergeten van de logout, ik log op mijn computer ook nooit uit, ik sluit altijd mozilla af zonder uit te loggen, en als ik mozilla weer opstart hoef ik dan nooit mijn password in te typen.
Maar kan ik dan beter wel uitloggen als ik mozilla sluit, mischien een heel domme vraag, maar op dit gebied heb ik mij nooit zo in verdiept en dus ook niet zo veel verstand van.

Verwijderd schreef op 22 juli 2003 @ 13:02:

Nog een vraagje dan, je zei de inbraak komt door het vergeten van de logout, ik log op mijn computer ook nooit uit, ik sluit altijd mozilla af zonder uit te loggen, en als ik mozilla weer opstart hoef ik dan nooit mijn password in te typen.
Maar kan ik dan beter wel uitloggen als ik mozilla sluit, mischien een heel domme vraag, maar op dit gebied heb ik mij nooit zo in verdiept en dus ook niet zo veel verstand van.

enkel als andere personen ook toegang hebben tot je computer, dus als je een gedeelde account hebt, of anderen je password weten.
Dit is voornamelijk van belang voor mensen die via school of andere publieke computers naar GoT! surfen _{(of als je tijdens een /16-meeting zo vrij bent de PC van * Kjev te benutten )}

iemand die op zo'n moment toegang heeft tot je computer kan dan ook onder je naam postten (overigens maakt hij dan enkel gebruik van je sessie, je kan op die manier niet het wachtwoord 'opvragen').

Zodra iemand op zo'n moment illegale zaken post, is de eigenaar van het account waaronder hij dit doet verantwoordelijk, helaas kunnen wij geen rekening houden en vrijwel altijd blijft een dusdanig opgelopen OW gewoon staan, aangezien dit een overtreding van de forumregels is:
dit is specifiek vermeld in de De Banrichtlijnen

[ Voor 3% gewijzigd door RM-rf op 22-07-2003 13:15 ]

RM-rf schreef op 22 July 2003 @ 13:15:
[...]


enkel als andere personen ook toegang hebben tot je computer, dus als je een gedeelde account hebt, of anderen je password weten.
Dit is voornamelijk van belang voor mensen die via school of andere publieke computers naar GoT! surfen _{(of als je tijdens een /16-meeting zo vrij bent de PC van * Kjev te benutten )}

iemand die op zo'n moment toegang heeft tot je computer kan dan ook onder je naam postten (overigens maakt hij dan enkel gebruik van je sessie, je kan op die manier niet het wachtwoord 'opvragen').

Zodra iemand op zo'n moment illegale zaken post, is de eigenaar van het account waaronder hij dit doet verantwoordelijk, helaas kunnen wij geen rekening houden en vrijwel altijd blijft een dusdanig opgelopen OW gewoon staan, aangezien dit een overtreding van de forumregels is:
dit is specifiek vermeld in de De Banrichtlijnen

Oke, thx, voor je uitleg, het is gelukkig bij mij nooit voorgekomen, dus alle O.W. of pushmessages was ik tot nu toe zelf verandtwoordelijk voor
Maar thx.

ACM schreef op 22 July 2003 @ 11:16:
[...]

Ow jajajaaa, dat is ook echt kostentechnisch een acceptabele manier voor een login op een forum
Even al onze lieve gebruikers van een personalized, clientside httpscertificaat voorzien.

Ooit er wel eens van gehoord dat je x509 certificaten kan laten tekenen door een andere partij dan Verisign .. het was maar een voorbeeld.
Het zit zo ...
Een CA (als verisign) tekend je certificaat met zijn private key. Normaal is dat gelijk jou certificaat, maar laten we zeggen dat Tweakers 1 certificaat heeft gekocht bij Verisign.
Ik ben een pittige tweaker en wil een certificaat. Tweakers maakt met OpenSSL een certificaat aan voor mij, met mijn Naam er op en wat extra nodige info. Dit certificaat wordt getekend door de private key van Tweakers' hun certificaat.

Bij een certificaat lookup, zorgt openssl of een andere certificaat afvanger ervoor dat jou certificaat uitgelezen kan worden. Het heeft je public key nodig. Die is encrypted door de private key van je certificaat uitgever (Tweakers). De tegenpartij van mij ziet dat het certificaat van Tweakers niet een self-signed CA certificaat is en moet dit tweakers certificaat maar eens onderzoeken. Hier is de public key voor nodig die encrypt is door de uitgever van het certificaat van Tweakers (Verisign). Het Verisign certificaat wordt nagetrokken en idem als het tweakers certificaat kan dit certificaat wel zijn public key geven om het Tweakers te ontrafelen. Hierbij komt de public key vrij van Tweakers en mijn certificaat kan van het slot af en al mijn, door Tweakers, getekende gegevens kunnen worden gelezen.
Je kan het nog volgen?

Dit maakt het al goedkoper, 1 certificaat nodig voor de community. Ik hoop dat een ISP dit later nog eens doet, zodat mijn bankzaken via het i-net verder en beter kunnen worden beveiligd. Gewoon naast je e-mail account en webservertje een certificaat erbij voor de bankzaken (dus niet voor standaard verkeerd, dat is niet nodig en maakt je hack kans weer iets groter).

Je kan het nog volgen ACM dat het allemaal goedkoper kan?

Verwijderd schreef op 22 July 2003 @ 10:45:
Even een vraag tussendoor, kan alle mods je passwoord ook zien, of is dit alleen weggelegd voor bepaalde mods.

Die pass is md5 geencode dus dat is voor niemand zo 123 te achterhalen.

[ Voor 10% gewijzigd door Brakkie op 23-07-2003 04:14 ]

VisionMaster schreef op 23 July 2003 @ 00:15:
Je kan het nog volgen ACM dat het allemaal goedkoper kan?

Ah en wij moeten dus maar voor alle gebruikers certificaten gaan lopen maken? Het opzetten van software die dat leuk automatiseert en een server die dat fatsoenlijk beheert is allemaal gratis ofzo?

Anyway, zeker jouw opzet is hardstikke mooi, heel veilig, enorme overkill en imho totaal onnodig voor een forum.
Zie vooral ook de opmerkingen van RM-rf die een soort risicoanalyse hier post

Zoals ACM al eens gezegd heeft in deze thread is niet alleen je l/p een belangrijk gegeven op het forum, dus alleen de login procedure over https laten gaan is maar deels zinvol. Bij iedere request die je doet op het forum gaat nml je sessie id mee, en dat is een even belangrijk gegeven als je l/p combo.

Dat zou dus betekenen dat er een volledige https variant zou moeten komen van gathering.tweakers.net, wat weer de nodige problemen met zich meebrengt met serverbelasting en loadbalancing.

Visionmaster, jij hebt het volgens mij over chained certificates. Volgens mij gaat het in de praktijk toch ietsje anders dan jij hier beschrijft. Denk niet dat de Verisignen van deze wereld zich zo makkelijk de kaas van het brood laten eten, denk je wel?

blender schreef op 23 juli 2003 @ 13:19:
Visionmaster, jij hebt het volgens mij over chained certificates. Volgens mij gaat het in de praktijk toch ietsje anders dan jij hier beschrijft. Denk niet dat de Verisignen van deze wereld zich zo makkelijk de kaas van het brood laten eten, denk je wel?

Klopt je ben certificaten aan het chainen. Ieder certificaat is te chainen en ja je kan Verisign iig wat kaas af vreten, maar je hbe altijd Verisign's self-signed certificaat nodig om jou 'derived' certificaat te kunnen controleren. Versign kan in deze actie jou certificaat opvragen en in dit Voorbeeld Tweakers controleren op chaining. Het ligt aan het bedrag dat je betaald aan Verisign hoe groot je bit encryptie is op je certificaat van je key's en of je mag chainen. Zover ik weet kan je altijd chainen, maar moet je er wel voor betalen (en kan je er later een rekening van krijgen) De mate van chainen (aantal dieptes) is niet relevant, want je chained of je chained niet. Extra kosten vallen verhoudingsgewijs mee.

Neemt niet weg dat ACM gelijk heeft en dat een 512 bits certificaat voor een forum een beetje boel overkill is. Al vind ik dat ACM gelijk heeft, neemt het niet weg dat ik vind dat internet security kan verbeteren bij het gebruik maken van zulke technieken.

Ik gebruik dagelijks certificaten en maak om de dag een certificaat van mijn certificaat die ik vrijuit gebruik op het web. Althans op een datagrid. Dat is in dit geval een verzameling van cluster computers. Uiteraard is de beveiliging hier wel wat meer van belang, maar het concept blijft gelijk.
(Ik ging even uit van het gebruik van https en niet zo zeer in combi met forum gebruik.)

Ik heb niet het hele topic gelezen, maar misschien voegt mijn idee iets toe.

Wat ik zelf soms gebruik om een login op een site veiliger te maken, is om het password vóór het submitten te laten MD5 encrypten door JavaScript.
Daarna verstuur ik het password geMD5't naar de server.

Ik weet niet of dat hier mogelijk is, maar bij de sites waar ik het toegepast was dat het wel omdat het password anders door de server direct ge-encrypt wordt naar MD5 omdat het ook geMD5't in de database staat.

nrg schreef op 23 July 2003 @ 17:20:
Ik heb niet het hele topic gelezen, maar misschien voegt mijn idee iets toe.

Wat ik zelf soms gebruik om een login op een site veiliger te maken, is om het password vóór het submitten te laten MD5 encrypten door JavaScript.
Daarna verstuur ik het password geMD5't naar de server.

Dan weten we het wachtwoord niet, maar kunnen we ten alle tijden als jouw inloggen door de hash naar de server te sturen. Bij bijvoorbeeld een LAN of kabelinternet is het geen probleem om met een sniffer die hash te pakken te krijgen..

Ik weet niet of dat hier mogelijk is, maar bij de sites waar ik het toegepast was dat het wel omdat het password anders door de server direct ge-encrypt wordt naar MD5 omdat het ook geMD5't in de database staat.

Ligt eraan hoe de site gescript is. Wordt serverside het password gehashed en vergeleken met de hash in de DB dan werkt jouw truuk niet.

Renegade schreef op 23 July 2003 @ 17:23:
Dan weten we het wachtwoord niet, maar kunnen we ten alle tijden als jouw inloggen door de hash naar de server te sturen. Bij bijvoorbeeld een LAN of kabelinternet is het geen probleem om met een sniffer die hash te pakken te krijgen..

Daar heb je inderdaad een punt.
Eigenlijk nooit aan gedacht

Iig is het password zelf dan niet bekend bij de hackert/crackert en die kan het password dan ook niet wijzigen (mits je die oud-password-check dan op een niet geMD5'de manier doet).

Ligt eraan hoe de site gescript is. Wordt serverside het password gehashed en vergeleken met de hash in de DB dan werkt jouw truuk niet.

Nee, dan moet je die serverside hash er dus uit halen

Maar ik denk dat React al zo ver in elkaar zet dat het moeilijk in te bouwen is, en dat het eigenlijk toch de moeite niet waard zou zijn.

Ik heb niet het hele topic doorgelezen, maar mijn 'grootste' argument tegen zoiets is de meerwaarde van SSL, GoT is niet zo enorm belangrijk (dat wil zeggen, misschien wel belangrijk maar niet in de orde van girotel en ga zo verder) dat je zoiets gaat toepassen.

En ik denk ook dat het aantal gevallen waarin SSH op GoT nodig is zoongeveer 0 is

nrg schreef op 23 July 2003 @ 17:29:
Daar heb je inderdaad een punt.
Eigenlijk nooit aan gedacht

Iig is het password zelf dan niet bekend bij de hackert/crackert en die kan het password dan ook niet wijzigen (mits je die oud-password-check dan op een niet geMD5'de manier doet).

Goed, stel dat je het inderdaad lokaal doet, dan ga je naar de profile pagina toe, stuurt daar de oude MD5 naartoe als het bevestigingswachtwoord en kijkt heel even wat de hash zou zijn van een paswoord wat voor jouw gemakkelijk te onthouden is. Die stuur je vervolgens 2x mee als nieuw wachtwoord, en voila we hebben een normaal wachtwoord dat we kunnen onthouden en tevens een account gekaapt. Verdere info zal ik maar niet precies gaan geven aangezien het geen howto is om te hacken ofzo, maar het idee erachter snap je denk ik wel

Maar ik denk dat React al zo ver in elkaar zet dat het moeilijk in te bouwen is, en dat het eigenlijk toch de moeite niet waard zou zijn.

Afgezien daarvan zijn er wel meer features in React gebouwd waarover ongetwijfeld meer dan een dag is nagedacht.

nrg schreef op 23 juli 2003 @ 17:29:
[...]
Nee, dan moet je die serverside hash er dus uit halen

Maar ik denk dat React al zo ver in elkaar zet dat het moeilijk in te bouwen is, en dat het eigenlijk toch de moeite niet waard zou zijn.

[rml]chem in "[ React 1.9] Wat te verwachten?"[/rml] en dan het volgende stukje:

• User
• login dmv MD5() bij de client

Dat komt er dus al .