Tijd voor https ?

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 4144
Lid geworden op: 17 Nov 2009
Bedankt: 1378 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 227 keer

Re: Tijd voor https ?

Berichtdoor raf1 » 18 Aug 2017, 15:38

Tomsworld schreef:Mixed content is heel moeilijk op een forum

Totaal niet, in de forumregels kan je simpelweg het gebruik van https verplichten. Wanneer een forumgebruiker http hyperlinks gebruikt, pas je die automatisch aan naar https of geef je bij het verzenden van het forumbericht simpelweg een foutmelding.

In het geval van userbase hebben de mixed content meldingen voor 99% te maken met volgende oorzaken:
- speedtest images van gebruikers die domweg over http worden ingeladen
- geüploade gebruikersavatars op userbase.be die nog dommerweg via http worden ingeladen.

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15781
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 544 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 469 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 18 Aug 2017, 15:52

Mixed content is niet zozeer een HTTP vs HTTPS-verhaal, maar wel een "staan we externe content toe"-issue.

nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 Dec 2011
Locatie: Gent
Bedankt: 216 keer
Uitgedeelde bedankjes: 170 keer

Re: Tijd voor https ?

Berichtdoor nickz » 18 Aug 2017, 15:59

Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 4144
Lid geworden op: 17 Nov 2009
Bedankt: 1378 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 227 keer

Re: Tijd voor https ?

Berichtdoor raf1 » 18 Aug 2017, 18:02

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue.

Man-in-the-middle attacks zijn ook een non-issue zeker? Via zo'n http url kan eender wie op een openbare wifi een virus op jouw pc injecteren.

Het wordt toch eens hoog tijd dat iedereen gaat beseffen dat communicatie via internet per definitie onveilig is en uitsluitend kan beveiligd worden door encryptie zoals https.

nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 Dec 2011
Locatie: Gent
Bedankt: 216 keer
Uitgedeelde bedankjes: 170 keer

Re: Tijd voor https ?

Berichtdoor nickz » 18 Aug 2017, 18:08

Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3327
Lid geworden op: 10 Mar 2010
Bedankt: 342 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 18 Aug 2017, 18:48

nickz schreef:Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...


ik weet niet waar te beginnen... "zelden" = niet nooit, dus....
"android is sowieso al niet zo vatbaar voor virussen" - https://forensics.spreitzenbarth.de/android-malware/ (sorry to kill your dreams)
"een beveiligingslek dat veel ernstiger is dan...." - alles wat bestaat heeft zwakke punten, en die probeer je dan te beschermen door o.a. best practices:
bv met de auto is autodiefstal mss wel het ernsigere "probleem", maar dat wil niet zeggen dat je dus je wagen niet moet afsluiten. (er zijn zelfs boetes als je je wagen niet afsluit dacht ik)

een afbeelding moet nog steeds verwerkt worden, en dat kan idd een extra payload bevatten die bv de browser aanvalt, of het os, of ....
(zo voert/voerde o.a. de fbi acties uit op tor om via images de tor browser te omzeilen en een phone home te doen buiten tor om, om zo criminelen te vatten)

edit: vrij leuke read ivm threats voor pc en mobile, alsook http:

https://www.av-test.org/fileadmin/pdf/s ... 5-2016.pdf

HTTP as an Achilles‘ heel for malware
The AV-TEST analysis systems record and list "Blackhat SEO" and "Webdust PE
URL" Web threats currently waiting to ambush Internet users. In particular,
this includes websites infected with malware. Already when calling up such
infected online sites, malware attempts to hijack visiting PCs via software
vulnerabilities. For such drive-by downloads, criminals create their own
websites that they advertise by means of vast spam campaigns. But even
well-known and frequently-used online sites become hacked and infected for
purposes of malware proliferation. As the detection systems of AV-TEST
indicate, in 2015 attackers almost exclusively used websites with the
unprotected transfer protocol HTTP for distributing malware (97.88 percent).
Attacks via HTTPS sites were almost non-existent (2.12 percent).


je bent vast verder ook iemand die tracking graag heeft? (1 pixel transparante image op een site en huppa... maar he, tis maar een simpele image dus niet erg, toch? :))
ooit zal hier iets nuttigs staan

nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 Dec 2011
Locatie: Gent
Bedankt: 216 keer
Uitgedeelde bedankjes: 170 keer

Re: Tijd voor https ?

Berichtdoor nickz » 18 Aug 2017, 19:07

Ik zou al niet meer weten wanneer de laatste keer is dat ik mijn laptop met een onbeveiligd/publiek Wi-Fi netwerk heb verbonden, maar goed, dat maakt op zich niet echt uit, want andere leden doen dat misschien wel.

Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload), niet via een afbeelding die hij heeft bekeken.

Een afbeelding moet uiteraard worden verwerkt, maar dat wil niet zeggen dat er daarom zomaar code wordt uitgevoerd die die afbeelding eventueel zou bevatten. Een afbeelding is een databestand volgens een gedefinieerd formaat, geen programmabestand of andere code die wordt uitgevoerd bij het openen/bekijken. Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.

HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.

Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.

(en van tracking lig ik niet wakker neen, denken dat je dat kan voorkomen is een illusie)

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3327
Lid geworden op: 10 Mar 2010
Bedankt: 342 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 18 Aug 2017, 19:21

nickz schreef:Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload)

lees ff over shedun: https://thehackernews.com/2015/11/andro ... stall.html
als bv een valide app in de play store geinfecteerd is, en jij die installeert (altijd mogelijk), dan kan die vervolgens andere apps installeren zonder jouw weten.
ik denk dat je dus ergens een beetje teveel waarde hecht aan een "false sense of security" (zoals dat ooit ook was met gebruikers van mac en linux, ook daar is de laatste jaren duidelijke verandering in gekomen)

nickz schreef:Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.

helemaal mee eens, maar wil niet zeggen dat je als gebruiker zelf ineens geen verantwoordelijkheden meer moet hebben of nemen.
en zeker als site admin heb je een bepaalde verantwoordelijkheid (je kan bv ook argumenteren dat wachtwoorden in plain text opslaan een non-issue is, want je moet maar niet gehackt worden ...)

nickz schreef:HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.

niets is waterdicht, alles is een klein deel van een groter geheel.
overigens vraag ik me af hoe zaken als firewalls bv gaan reageren op certificate pinning en hpkp (niet dat dat al vaak geimplementeerd is)
en dan is een mitm aanval met zo'n certificaat nog steeds meestal gewoon iets dat lukt omdat het gebruikte cert toegevoegd is aan de vertrouwde certs van de computers.

nickz schreef:Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.


tgoh, "het is nog niet zolang geleden dat internet nog dial-up was, waarom zouden we nu breedband nodig hebben als we toen ook alles konden dat moest?" attitude.
maar soit, ieder heeft zijn eigen attitude, alleen hoop ik dat degene die er helemaal niet naar kijken (zoals jij blijkbaar) niets van beveiliging moeten doen of bedenken. (als gewone eindgebruiker met gezond verstand én een deftige firewall/antivirus zal het allemaal wel meevallen... spijtig genoeg is dat lang niet iedereen die toegang heeft tot internet)
ooit zal hier iets nuttigs staan

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3327
Lid geworden op: 10 Mar 2010
Bedankt: 342 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 50 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 18 Sep 2017, 00:14

meon schreef:*yay*
I fixed it :).
Userbase draait nu op een Let's Encrypt Domain Validated SAN-certificate.

Met dank aan Splitter om een paar goeie sites door te geven met tips!


blijkbaar wel een subdomeintje vergeten ;)
http://userbase.be/forum/viewtopic.php?p=716910#p716910
ooit zal hier iets nuttigs staan

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29358
Lid geworden op: 28 Okt 2003
Bedankt: 1939 keer
Recent bedankt: 15 keer
Uitgedeelde bedankjes: 411 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 03 Aug 2018, 09:38

Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?

Gebruikersavatar
antutu
Plus Member
Plus Member
Berichten: 157
Lid geworden op: 12 Jun 2017
Bedankt: 11 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 46 keer

Re: Tijd voor https ?

Berichtdoor antutu » 03 Aug 2018, 10:23

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.


+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS. Stel je eens voor dat je afgeluisterd wordt en men teweten komt wat jouw volgende breiproject wordt! Jeetjemina een mens mag gewoonweg niet denken aan zulke catastrofes.
Samsung Galaxy S8: Orange Koala 4 GB Unlim. calls + text
Televisie / internet / vaste telefonie: Scarlet Trio

Goztow
Administrator
Administrator
Berichten: 12292
Lid geworden op: 14 Nov 2006
Locatie: Brussel
Bedankt: 664 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 1148 keer
Contact:

Re: Tijd voor https ?

Berichtdoor Goztow » 03 Aug 2018, 11:24

r2504 schreef:Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?

Dat zou kunnen, is het gewenst?
Bedank andere users voor nuttige posts, door op Afbeelding te klikken
Overstappen van vaste lijn naar voip? Lees hier hoe
Afbeelding Waze user

liber!
Premium Member
Premium Member
Berichten: 630
Lid geworden op: 09 Apr 2006
Twitter: nathan_gs
Bedankt: 45 keer
Uitgedeelde bedankjes: 92 keer

Re: Tijd voor https ?

Berichtdoor liber! » 03 Aug 2018, 12:06


Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29358
Lid geworden op: 28 Okt 2003
Bedankt: 1939 keer
Recent bedankt: 15 keer
Uitgedeelde bedankjes: 411 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 03 Aug 2018, 12:48

antutu schreef:+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS.


Als er ergens een login op die blog staat waarom niet (maar da's je grootmoeders keuze) ?

Echter geen idee waarom je deze discussie opnieuw wil starten... Userbase.be heeft een SSL certificaat dus waarom zouden we het niet gebruiken (en aangezien mensen nog vaak de https prefix niet zelf intypen is een redirect/rewrite toch wel handig lijkt me).

on4bam
Elite Poster
Elite Poster
Berichten: 3250
Lid geworden op: 05 Mei 2006
Bedankt: 253 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 218 keer

Re: Tijd voor https ?

Berichtdoor on4bam » 03 Aug 2018, 14:35

Goztow schreef:Dat zou kunnen, is het gewenst?


Lijkt mij logisch. indien iemand dan linkt naar de http pagina ga je automatisch naar https. Zou eigenlijk ook met de m.usebase mogen :angel: Niks zo vervelend dan m.userbase in een link als je op desktop werkt (of tablet). Gelukkig gebeurt dat maar sporadisch.

blaatpraat
Elite Poster
Elite Poster
Berichten: 784
Lid geworden op: 10 Jan 2014
Bedankt: 61 keer
Uitgedeelde bedankjes: 27 keer

Re: Tijd voor https ?

Berichtdoor blaatpraat » 03 Aug 2018, 16:29

Moest er nog een reden zijn dat een automatische rewrite niet kan of mag, dan kun je ook userbase toevoegen aan de HTTP Everywhere extensie:
https://www.eff.org/https-everywhere/fa ... everywhere

Gebruik dit al jaren zodat ik bijna overal automatisch op https zit, maar UB wordt nog niet ondersteund.


Terug naar “Userbase: Aankondigingen, vragen en suggesties”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten