Userbase

Tomsworld schreef:Mixed content is heel moeilijk op een forum

Totaal niet, in de forumregels kan je simpelweg het gebruik van https verplichten. Wanneer een forumgebruiker http hyperlinks gebruikt, pas je die automatisch aan naar https of geef je bij het verzenden van het forumbericht simpelweg een foutmelding.

In het geval van userbase hebben de mixed content meldingen voor 99% te maken met volgende oorzaken:
- speedtest images van gebruikers die domweg over http worden ingeladen
- geüploade gebruikersavatars op userbase.be die nog dommerweg via http worden ingeladen.

Mixed content is niet zozeer een HTTP vs HTTPS-verhaal, maar wel een "staan we externe content toe"-issue.

Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue.

Man-in-the-middle attacks zijn ook een non-issue zeker? Via zo'n http url kan eender wie op een openbare wifi een virus op jouw pc injecteren.

Het wordt toch eens hoog tijd dat iedereen gaat beseffen dat communicatie via internet per definitie onveilig is en uitsluitend kan beveiligd worden door encryptie zoals https.

Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...

nickz schreef:Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...

ik weet niet waar te beginnen... "zelden" = niet nooit, dus....
"android is sowieso al niet zo vatbaar voor virussen" - https://forensics.spreitzenbarth.de/android-malware/ (sorry to kill your dreams)
"een beveiligingslek dat veel ernstiger is dan...." - alles wat bestaat heeft zwakke punten, en die probeer je dan te beschermen door o.a. best practices:
bv met de auto is autodiefstal mss wel het ernsigere "probleem", maar dat wil niet zeggen dat je dus je wagen niet moet afsluiten. (er zijn zelfs boetes als je je wagen niet afsluit dacht ik)

een afbeelding moet nog steeds verwerkt worden, en dat kan idd een extra payload bevatten die bv de browser aanvalt, of het os, of ....
(zo voert/voerde o.a. de fbi acties uit op tor om via images de tor browser te omzeilen en een phone home te doen buiten tor om, om zo criminelen te vatten)

edit: vrij leuke read ivm threats voor pc en mobile, alsook http:

https://www.av-test.org/fileadmin/pdf/s ... 5-2016.pdf

HTTP as an Achilles‘ heel for malware
The AV-TEST analysis systems record and list "Blackhat SEO" and "Webdust PE
URL" Web threats currently waiting to ambush Internet users. In particular,
this includes websites infected with malware. Already when calling up such
infected online sites, malware attempts to hijack visiting PCs via software
vulnerabilities. For such drive-by downloads, criminals create their own
websites that they advertise by means of vast spam campaigns. But even
well-known and frequently-used online sites become hacked and infected for
purposes of malware proliferation. As the detection systems of AV-TEST
indicate, in 2015 attackers almost exclusively used websites with the
unprotected transfer protocol HTTP for distributing malware (97.88 percent).
Attacks via HTTPS sites were almost non-existent (2.12 percent).

je bent vast verder ook iemand die tracking graag heeft? (1 pixel transparante image op een site en huppa... maar he, tis maar een simpele image dus niet erg, toch? )

Ik zou al niet meer weten wanneer de laatste keer is dat ik mijn laptop met een onbeveiligd/publiek Wi-Fi netwerk heb verbonden, maar goed, dat maakt op zich niet echt uit, want andere leden doen dat misschien wel.

Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload), niet via een afbeelding die hij heeft bekeken.

Een afbeelding moet uiteraard worden verwerkt, maar dat wil niet zeggen dat er daarom zomaar code wordt uitgevoerd die die afbeelding eventueel zou bevatten. Een afbeelding is een databestand volgens een gedefinieerd formaat, geen programmabestand of andere code die wordt uitgevoerd bij het openen/bekijken. Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.

HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.

Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.

(en van tracking lig ik niet wakker neen, denken dat je dat kan voorkomen is een illusie)

nickz schreef:Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload)

lees ff over shedun: https://thehackernews.com/2015/11/andro ... stall.html
als bv een valide app in de play store geinfecteerd is, en jij die installeert (altijd mogelijk), dan kan die vervolgens andere apps installeren zonder jouw weten.
ik denk dat je dus ergens een beetje teveel waarde hecht aan een "false sense of security" (zoals dat ooit ook was met gebruikers van mac en linux, ook daar is de laatste jaren duidelijke verandering in gekomen)

nickz schreef:Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.

helemaal mee eens, maar wil niet zeggen dat je als gebruiker zelf ineens geen verantwoordelijkheden meer moet hebben of nemen.
en zeker als site admin heb je een bepaalde verantwoordelijkheid (je kan bv ook argumenteren dat wachtwoorden in plain text opslaan een non-issue is, want je moet maar niet gehackt worden ...)

nickz schreef:HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.

niets is waterdicht, alles is een klein deel van een groter geheel.
overigens vraag ik me af hoe zaken als firewalls bv gaan reageren op certificate pinning en hpkp (niet dat dat al vaak geimplementeerd is)
en dan is een mitm aanval met zo'n certificaat nog steeds meestal gewoon iets dat lukt omdat het gebruikte cert toegevoegd is aan de vertrouwde certs van de computers.

nickz schreef:Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.

tgoh, "het is nog niet zolang geleden dat internet nog dial-up was, waarom zouden we nu breedband nodig hebben als we toen ook alles konden dat moest?" attitude.
maar soit, ieder heeft zijn eigen attitude, alleen hoop ik dat degene die er helemaal niet naar kijken (zoals jij blijkbaar) niets van beveiliging moeten doen of bedenken. (als gewone eindgebruiker met gezond verstand én een deftige firewall/antivirus zal het allemaal wel meevallen... spijtig genoeg is dat lang niet iedereen die toegang heeft tot internet)

meon schreef:*yay*
I fixed it .
Userbase draait nu op een Let's Encrypt Domain Validated SAN-certificate.

Met dank aan Splitter om een paar goeie sites door te geven met tips!

blijkbaar wel een subdomeintje vergeten
http://userbase.be/forum/viewtopic.php?p=716910#p716910

Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.

+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS. Stel je eens voor dat je afgeluisterd wordt en men teweten komt wat jouw volgende breiproject wordt! Jeetjemina een mens mag gewoonweg niet denken aan zulke catastrofes.

r2504 schreef:Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?

Dat zou kunnen, is het gewenst?

antutu schreef:+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS.

Als er ergens een login op die blog staat waarom niet (maar da's je grootmoeders keuze) ?

Echter geen idee waarom je deze discussie opnieuw wil starten... Userbase.be heeft een SSL certificaat dus waarom zouden we het niet gebruiken (en aangezien mensen nog vaak de https prefix niet zelf intypen is een redirect/rewrite toch wel handig lijkt me).

Goztow schreef:Dat zou kunnen, is het gewenst?

Lijkt mij logisch. indien iemand dan linkt naar de http pagina ga je automatisch naar https. Zou eigenlijk ook met de m.usebase mogen Niks zo vervelend dan m.userbase in een link als je op desktop werkt (of tablet). Gelukkig gebeurt dat maar sporadisch.

Moest er nog een reden zijn dat een automatische rewrite niet kan of mag, dan kun je ook userbase toevoegen aan de HTTP Everywhere extensie:
https://www.eff.org/https-everywhere/fa ... everywhere

Gebruik dit al jaren zodat ik bijna overal automatisch op https zit, maar UB wordt nog niet ondersteund.

20 jaar geleden heb ik eens HTTPS opgezet, dat was toen uitzoekwerk.

Nu verschoot ik ervan hoe triviaal het wel is ....

yum install python2-certbot-apache.noarch
certbot --apache

Je vult dan een paar triviale vragen in, en klaar

Nog even poort 443 in firewalld enablen en klaar .... en ja het werkt!!

meon schreef:Mixed content is niet zozeer een HTTP vs HTTPS-verhaal, maar wel een "staan we externe content toe"-issue.

https://userbase.be/forum/viewtopic.php ... 55#p805755

Kan jij dit aub nu eens eindelijk op https forced zetten?

De website staat al enkele dagen op HTTPS only...
Dat deze eigen pagina een warning geeft komt ... omwille van jouw eigen avatar die aangeleverd wordt via HTTP.

De +1 Bedankt buttons (at least op de "nieuwe"? theme) worden ook via HTTP ipv HTTPS geleverd.

"http://userbase.be/forum/images/icons/k ... ks_red.gif"

GuntherDW schreef:De +1 Bedankt buttons (at least op de "nieuwe"? theme) worden ook via HTTP ipv HTTPS geleverd.

"http://userbase.be/forum/images/icons/k ... ks_red.gif"

Deze afbeelding wordt nochtans door het thanks.css stijlbestand relatief aan de base URL ingeladen. Het wordt dus niet via een absolute http:// URL ingeladen.

De reden dat je alsnog een inlading via http ziet gebeuren is mogelijks doordat forumgebruiker Goztow, die 9 posts hierboven post, deze afbeelding met een absolute http:// link in zijn signature geplaatst heeft.

Aangepast

Goztow schreef:Aangepast

Hulde!

meon schreef:De website staat al enkele dagen op HTTPS only...
Dat deze eigen pagina een warning geeft komt ... omwille van jouw eigen avatar die aangeleverd wordt via HTTP.

Avatar wordt aangeleverd via gravatar...

Edit: Blijkbaar toch niet overal https. Maar zal dan wel te maken hebben met http content...

ip.userbase.be werkt nu niet meer... (auto redirect naar main page)

https://userbase.be/services/ip wel

Afbeeldingen zijn nog steeds niet versleuteld?