Userbase redirect naar https

Vragen of opmerking aan het adres van de Userbase.be crew kan je hier posten. Ook nieuws ivm Userbase.be wordt hier gepost.
Plaats reactie
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 2302
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 356 keer
Bedankt: 60 keer
Recent bedankt: 1 keer

Admins, is het mogelijk om de redirect van http naar https af te dwingen.
Mijne antivirus, Bitdefender, had userbase geblokkeerd.
Blijkbaar zat ik terug op een http-verbinding en dat in combinatie met een username en password ==> blocked :banana:

Thanx !

Ik heb wel geen www. ervoor staan, enkel userbase.be.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Je kan de https everywhere add-on gebruiken om dit tegen te gaan in de toekomst.
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 2302
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 356 keer
Bedankt: 60 keer
Recent bedankt: 1 keer

JamesEarlGray schreef:Je kan de https everywhere add-on gebruiken om dit tegen te gaan in de toekomst.
Dat weet ik hoor, maar ik geef altijd de voorkeur dat de websites dit aanpassen :banana:
Gebruikersavatar
thomasv
Premium Member
Premium Member
Berichten: 550
Lid geworden op: 01 dec 2014, 16:52
Locatie: Regio Gent
Uitgedeelde bedankjes: 34 keer
Bedankt: 52 keer

Code: Selecteer alles

#force HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Plakken in .htaccess in root folder

Met plezier
 iPhone 12 Pro / iPad 2021 / Apple TV 4K (2nd Gen) / MBP 2020

⌘ Proximus Internet Maxi Fiber
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

Ja, snap zelfs niet waarom HTTP zonder SSL zelfs nog open staat op een forum of ergens waar je een wachtwoord moet ingeven.
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 2302
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 356 keer
Bedankt: 60 keer
Recent bedankt: 1 keer

Tim.Bracquez schreef:Ja, snap zelfs niet waarom HTTP zonder SSL zelfs nog open staat op een forum of ergens waar je een wachtwoord moet ingeven.
Och, ik krijg dat zelfs bij een deel van mijn eigen klanten niet tot bun verstand.
Dat zijn dan die die hun eigen websites onderhouden en als ze dan iets aan de hand hebben, dan staan ze daar weer alsof het mijn schuld is :roll:
Maar das niet zonder een factuur langs mijne kant :banana:
Gebruikersavatar
Converted
Pro Member
Pro Member
Berichten: 336
Lid geworden op: 11 aug 2006, 16:08
Twitter: ReleaseUrSelf
Locatie: Antwerpen
Uitgedeelde bedankjes: 25 keer
Bedankt: 16 keer

Alle mannen, maak er nu eens werk van zodat https werkt zoals het hoort.
Anno 2019 en een IT forum vind ik raar dat het maar half werkt...
"ONEup -> 1000/40"
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Goh, kennis van waar er nog een echte bereikbare http website is blijft toch altijd handig om geforceerd op de splash van een pover geconfigureerde captive portal te raken, iets wat ik toch nog enkele keren per jaar tegenkom. Eigenlijk bewijst Userbase dus een dienst aan ons IT-ers :-). Tot voor kort had je ook op cnn.com en tijd.be die garantie maar sinds ergens vorig jaar zijn die beiden ook naar https gegaan.

Jaja, ik weet wel, neverssl.com doet dit ook en specifiek met dit opzet, maar nooit alle eieren in een mand steken he.
DarkV
Elite Poster
Elite Poster
Berichten: 3724
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 111 keer
Bedankt: 154 keer
Recent bedankt: 3 keer

CCatalyst schreef:Goh, kennis van waar er nog een echte bereikbare http website is blijft toch altijd handig om geforceerd op de splash van een pover geconfigureerde captive portal te raken, iets wat ik toch nog enkele keren per jaar tegenkom. Eigenlijk bewijst Userbase dus een dienst aan ons IT-ers :-). Tot voor kort had je ook op cnn.com en tijd.be die garantie maar sinds ergens vorig jaar zijn die beiden ook naar https gegaan.

Jaja, ik weet wel, neverssl.com doet dit ook en specifiek met dit opzet, maar nooit alle eieren in een mand steken he.
www.standaard.be :wink:
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Het Belgisch staatsblad natuurlijk.
Gebruikersavatar
thomasv
Premium Member
Premium Member
Berichten: 550
Lid geworden op: 01 dec 2014, 16:52
Locatie: Regio Gent
Uitgedeelde bedankjes: 34 keer
Bedankt: 52 keer

Jokes aside; wie kunnen we best contacteren? => iemand met FTP of SSH toegang is voldoende als eerste stap. Eventueel het ‘root domain’ in de forumsoftware aanpassen vervolgens.
Of doen bepaalde mods/plug-ins moeilijk?
 iPhone 12 Pro / iPad 2021 / Apple TV 4K (2nd Gen) / MBP 2020

⌘ Proximus Internet Maxi Fiber
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Https forcen voor alles kan niet omdat je dan geen externe afbeeldingen meer kan toelaten via img tag. Maar verplicht gebruik van https url zou kunnen. Contacteer meon of sub_zero daarvoor eens?
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

**
Laatst gewijzigd door Tim.Bracquez 04 sep 2021, 12:32, in totaal 1 gewijzigd.
Gebruikersavatar
Converted
Pro Member
Pro Member
Berichten: 336
Lid geworden op: 11 aug 2006, 16:08
Twitter: ReleaseUrSelf
Locatie: Antwerpen
Uitgedeelde bedankjes: 25 keer
Bedankt: 16 keer

Zou jij eventueel meon of sub_zero kunnen contacteren ivm dit script en https url zodat er eens werk van gemaakt kan worden?
"ONEup -> 1000/40"
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@Converted: Je moet gewoon gewoon maar eens Google Analytics er aan hangen, dit werkt met een stomme tracking pixel, heb je genoeg info al :)

Er is een reden waarom er in je browser meldingen komen van extern geladen resources.

Https only, images enkel op site, waarom zou een avatar extern moeten staan of toch via Proxy script? Als die (image)site traag laad is heel de pagina slow ....
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 2302
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 356 keer
Bedankt: 60 keer
Recent bedankt: 1 keer

Tim.Bracquez schreef:
Ik snap echt niet dat je HTTP verkeer nog toe laat, via Google krijg je daar gewoon strafpunten voor ook. Https only heeft voorkeur in de resultaten.
Antivirus blokken ook tegenwoordig.
Hier met Bitdefender aan hand :banana:
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@svermassen: Ook logisch, alles waar je wachtwoorden post zou https-only moeten zijn. Heb al gemerkt zelfs dat userbase mails ook (soms) http only links sturen, dus UB-members krijgen bij topic posts automatisch http links voorgeschoteld en gaan dus mogelijk zonder dat ze het weten op http connecteren!

Zie screenshot
Screenshot 2019-08-27 at 22.13.11.png
Trouwens hier gewoon een voorbeeld van een remote include (avatar of niet), je hebt uiteraard alle info van welke pagina je komt. Samen met beetje creativiteit maak je gewoon een user -> IP database als forum member (dus niet als site beheerder)
Afbeelding

Zoals ik al eens aangaf, zet cloudflare er voor, die heeft zelfs een optie om ALLES naar https te rewriten en op https beschikbaar te maken, ook externe images... Dan heb je die problemen niet
Gebruikersavatar
Converted
Pro Member
Pro Member
Berichten: 336
Lid geworden op: 11 aug 2006, 16:08
Twitter: ReleaseUrSelf
Locatie: Antwerpen
Uitgedeelde bedankjes: 25 keer
Bedankt: 16 keer

Ik ben niet zo technisch onderlegt.
Maar ik stel mij echt de vraag waarom ze cloudflare niet gebruiken? Vanwege privacy?
"ONEup -> 1000/40"
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Tbh, wie zich zorgen maakt over het feit dat zijn paswoord in the clear gestuurd wordt, kan die niet beter gewoon stoppen met paswoorden te herbruiken op verschillende sites?
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Ik zie de link niet tussen zorgen over http en herbruiken, beide doe je beter niet.
boonpwnz
Elite Poster
Elite Poster
Berichten: 5082
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 84 keer
Bedankt: 153 keer
Recent bedankt: 5 keer

Catalyst het heeft hier eigenlijk niet met wachtwoorden te maken maar met ip adressen die easy geleaked kunnen worden via afbeeldingen.
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3202
Lid geworden op: 05 dec 2010, 15:09
Bedankt: 450 keer

@boonpwnz: Dit kan uiteraard ook met https site.

UB-admins zet vinkje https only even aan en zet de remote image include even uit :-)
Gebruikersavatar
Pi.Degroote
Starter Plus
Starter Plus
Berichten: 28
Lid geworden op: 12 jul 2019, 21:31
Locatie: Gent (Ghent)
Uitgedeelde bedankjes: 12 keer
Bedankt: 3 keer

Momenteel gebruik ik 'uBlock Origin' en 'HTTPS Everywhere' in Google Chrome.

Toch denk ik dat het interessant zou zijn (vooral op een ICT forum als Userbase) dat HTTPS met TLS 1.2/1.3 overal afgedwongen zou worden.

Ik veronderstel dat, anno 2019, iedereen hier reeds met een platform en web browser werkt die een dergelijk protocol ondersteunt.
Laatst gewijzigd door Pi.Degroote 17 nov 2020, 17:45, in totaal 1 gewijzigd.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

boonpwnz schreef:Catalyst het heeft hier eigenlijk niet met wachtwoorden te maken maar met ip adressen die easy geleaked kunnen worden via afbeeldingen.
Ik snap ook niet meteen hoe TLS dit zou verhelpen, de enige meerwaarde zit hem in het feit dat men in de pakketroute onderweg dan niet meer zogezegd het IP aan de username kan koppelen, maar wie de afbeelding post kan dat nog altijd zien, dus wat zou die eersten daartoe tegenhouden.

Is het niet gewoon beter van een VPN of proxy te gebruiken of zelf een script te installeren dat die afbeeldingen blokkeert? Want als je afbeeldingen blokkeert is het volgende gewoon clickbaitlinks om je IP te achterhalen hoor.
Plaats reactie

Terug naar “Userbase: Aankondigingen, vragen en suggesties”