SSL certificaat

De Archiefkast van het Forum. Oude discussies zijn hier nog eens na te lezen.

Moderator: Moderafo's

kinpruik

SSL certificaat

Berichtdoor kinpruik » 09 feb 2016 11:48

Kan iemand van de beheerders of moderators mij misschien uitleggen waarom Refoweb geen SSL certificaat gebruikt (slotje in de adresbalk)? Dit vindt ik nogal opvallend, een SSL-certificaat is tegenwoordig toch een minimale vereiste voor enigzins veilig internetgebruik. Inloggegevens worden volgens mij zo gewoon onversleuteld over het netwerk geschoten, dat kan toch niet goed zijn?

Marnix
Maarschalk
Maarschalk
Berichten: 17412
Lid geworden op: 03 dec 2002 23:50

Re: SSL certificaat

Berichtdoor Marnix » 09 feb 2016 12:34

Hm lang geleden dat ik me er in heb verdiept maar volgens mij is de noodzaak voor het gebruik van SSL op een PHPBB-forum een stuk minder groot dan standaard.
“He died not for men, but for each man. If each man had been the only man made, He would have done no less.”
― C.S. Lewis

kinpruik

Re: SSL certificaat

Berichtdoor kinpruik » 09 feb 2016 12:39

Marnix schreef:Hm lang geleden dat ik me er in heb verdiept maar volgens mij is de noodzaak voor het gebruik van SSL op een PHPBB-forum een stuk minder groot dan standaard.


Dat is echt niet zo. Een SSL-certificaat versleuteld het verkeer tussen client en server en authenticeert de server. Welke forumsoftware je daarbij gebruikt is vrij irrelevant. Iedereen met een netwerksniffer kan nu de inloggegevens van anderen op hetzelfde netwerk bekijken. Helemaal problematisch voor de mensen die 1 wachtwoord voor al hun accounts gebruiken.

Gebruikersavatar
StillAwake
Generaal
Generaal
Berichten: 5374
Lid geworden op: 27 aug 2013 13:47

Re: SSL certificaat

Berichtdoor StillAwake » 09 feb 2016 13:24

kinpruik schreef:Helemaal problematisch voor de mensen die 1 wachtwoord voor al hun accounts gebruiken.

Je mag toch aannemen dat de meeste mensen dat niet doen?
Bovendien: zie dan nog maar eens alle gebruikersnamen te achterhalen.
Persoonlijk ben ik vaker gebruikersnamen kwijt dan wachtwoorden ;-)

Maar, eens met het feit dat een SSL certificaat zeker geen onredelijke eis is...
Geef me de rust om te accepteren wat ik niet kan veranderen.
Geef me de moed om te veranderen wat ik kan.
Geef me de wijsheid om het verschil te zien.

Marnix
Maarschalk
Maarschalk
Berichten: 17412
Lid geworden op: 03 dec 2002 23:50

Re: SSL certificaat

Berichtdoor Marnix » 09 feb 2016 13:30

Dat is altijd een leuke afweging, in hoeverre zijn mensen zelf verantwoordelijk voor hun veiligheid en ben je als host dat.
“He died not for men, but for each man. If each man had been the only man made, He would have done no less.”
― C.S. Lewis

kinpruik

Re: SSL certificaat

Berichtdoor kinpruik » 09 feb 2016 13:56

StillAwake schreef:Je mag toch aannemen dat de meeste mensen dat niet doen?
Bovendien: zie dan nog maar eens alle gebruikersnamen te achterhalen.
Persoonlijk ben ik vaker gebruikersnamen kwijt dan wachtwoorden ;-)

Maar, eens met het feit dat een SSL certificaat zeker geen onredelijke eis is...


Ik werk in de softwareontwikkeling, en het zal je verbazen hoeveel mensen nog 1 niet bijzonder sterk wachtwoord gebruiken voor al hun accounts.

Marnix schreef:Dat is altijd een leuke afweging, in hoeverre zijn mensen zelf verantwoordelijk voor hun veiligheid en ben je als host dat.


Begrijp me niet verkeerd, ik ben het met jullie beiden eens dat gebruikers hierin zelf een verantwoordelijkheid hebben. Een SSL certificaat is in 2016 echter gewoon een vereiste voor een goed beveiligde website. Ik vind het dan ook zwaar ondermaats dat een site die zoveel bezocht wordt als Refoweb geen SSL certificaat heeft. Dit kost op jaarbasis een paar tientjes (de goedkoopsten) en verbeterd de veiligheid enorm. Als er een refowebber nu in de bibliotheek inlogt op de site kan een clandestien figuur met een netwerksniffer zo iemands credentials afluisteren. Dit kan gewoon echt niet meer.

Gebruikersavatar
StillAwake
Generaal
Generaal
Berichten: 5374
Lid geworden op: 27 aug 2013 13:47

Re: SSL certificaat

Berichtdoor StillAwake » 09 feb 2016 13:58

Marnix schreef:Dat is altijd een leuke afweging, in hoeverre zijn mensen zelf verantwoordelijk voor hun veiligheid en ben je als host dat.

Die twee sluiten elkaar niet uit.
Het is een varantwoordelijkheid van zowel de host als van de gebruiker.
Als jij bij mij aan boord komt ben ik verantwoordelijk voor het feit dat jij veiligheidsschoenen, een helm, een reflecterende jas, een veiligheidsbril en handschoenen bij je hebt.
Als jij ze vervolgens niet opzet heb ik mijn plicht gedaan, maar ben jij alsnog niet veilig bezig...
Veiligheid (ook digitaal) is een ieders verantwoordelijkheid.
Geef me de rust om te accepteren wat ik niet kan veranderen.
Geef me de moed om te veranderen wat ik kan.
Geef me de wijsheid om het verschil te zien.

Gebruikersavatar
Chaya
Generaal
Generaal
Berichten: 5406
Lid geworden op: 15 dec 2014 10:38
Locatie: Bij het water

Re: SSL certificaat

Berichtdoor Chaya » 09 feb 2016 14:06

kinpruik schreef:Ik werk in de softwareontwikkeling, en het zal je verbazen hoeveel mensen nog 1 niet bijzonder sterk wachtwoord gebruiken voor al hun accounts.

Ik moet van mijn bank minstens eenmaal per jaar verplicht mijn wachtwoord veranderen.
Ook een andere instelling vraagt dit van me.
Ik begreep dat niet de ingewikkeldheid van het wachtwoord het sterk maakt, maar de lengte ervan. Helaas zijn sommige wachtwoorden aan een max aantal tekens gebonden.

Het valt mij overigens op dat veel "refo-websites" en kerkelijke websites als onveilig worden aangemerkt door McAfee.
Wee de mens die zich niet elke dag minstens een uur kan bezinnen over zichzelf ~ Rabbi Mosje Leib van Sasow

kinpruik

Re: SSL certificaat

Berichtdoor kinpruik » 09 feb 2016 14:11

Chaya schreef:Ik moet van mijn bank minstens eenmaal per jaar verplicht mijn wachtwoord veranderen.
Ook een andere instelling vraagt dit van me.
Ik begreep dat niet de ingewikkeldheid van het wachtwoord het sterk maakt, maar de lengte ervan. Helaas zijn sommige wachtwoorden aan een max aantal tekens gebonden.

Het valt mij overigens op dat veel "refo-websites" en kerkelijke websites als onveilig worden aangemerkt door McAfee.


Heel verstandig dat je dat doet. Er is echt wel reden om dat te doen. Er bestaat namelijk geautomatiseerde software die een brutekracht-aanval kunnen uitvoeren. Bij zo'n aanval worden simpelweg de meeste mogelijke combinaties geprobeerd. Als je een ingewikkelder (meer tekensets) en langer wachtwoord gebruikt wordt het zo exponentieel moeilijker om het wachtwoord te kraken.

Dat de websites die je noemt als onveilig worden aangemerkt komt waarschijnlijk door het ontbreken van het SSL-certificaat. Als je op je bank inlogt zie je als het goed is naast je adresbalk een groen slotje staan. Dit betekend dat het verkeer tussen jouw computer en de server van de bank versleuteld is. Dat is met Refoweb niet zo. Dat wil zeggen dat stel dat jij in een cafe een kopje koffie zit te drinken en je wilt even op Refoweb inloggen, dat jouw inloggegevens onversleuteld worden verzonden, en als ik toevallig in datzelfde cafe zit ik ze zo kan onderscheppen. Zeer onveilig dus, en ik wil er bij Refoweb toch op aandringen om dit snel te regelen. Qua kosten zou dit niet uit moeten maken, zo'n certificaat kost een paar tientjes op jaarbasis en het installeren is met een uurtje gepiept.

Gebruikersavatar
Tante Pollewop
Kolonel
Kolonel
Berichten: 3008
Lid geworden op: 08 aug 2005 17:05

Re: SSL certificaat

Berichtdoor Tante Pollewop » 09 feb 2016 14:17


Marnix
Maarschalk
Maarschalk
Berichten: 17412
Lid geworden op: 03 dec 2002 23:50

Re: SSL certificaat

Berichtdoor Marnix » 09 feb 2016 15:44

Daarnaast kan er gezocht worden op informatie die men weet als men je wachtwoord wil achterhalen. Zoals bij de iCloud-hack van foto's van allerlei filmsterren / muzikanten enz. De naam van je kinderen, partner, je huisdieren, je geboortejaar, je woonplaats, straat, trouwdatum enzovoorts. Alles wat bekend is. Dat vergroot de kans op het raden van het wachtwoord. Een ingewikkeld wachtwoord kan dan ook helpen omdat het op bovenstaande manier minder makkelijk te achterhalen is.
“He died not for men, but for each man. If each man had been the only man made, He would have done no less.”
― C.S. Lewis

Gebruikersavatar
henkie
Beheerder
Berichten: 3481
Lid geworden op: 10 sep 2002 15:05

Re: SSL certificaat

Berichtdoor henkie » 09 feb 2016 20:45

Ik zal het eens navragen bij de programmeur. Tweakers gebruikt het overigens bewust niet: http://tweakers.net/plan/790/dilemma-mo ... etten.html

kinpruik

Re: SSL certificaat

Berichtdoor kinpruik » 09 feb 2016 22:54

henkie schreef:Ik zal het eens navragen bij de programmeur. Tweakers gebruikt het overigens bewust niet: http://tweakers.net/plan/790/dilemma-mo ... etten.html


Bedankt!

Tweakers gebruikt zekersteweten wel SSL, alleen niet voor elke pagina. Tweakers heeft een beveiligd subdomein waar dit wel geldt. Als je op inloggen klikt kom je ook hier terecht: https://secure.tweakers.net/my.tnet/login/

kinpruik

Re: SSL certificaat

Berichtdoor kinpruik » 18 feb 2016 13:11

henkie schreef:Ik zal het eens navragen bij de programmeur.


We zijn inmiddels bijna 10 dagen verder en er is hier nog steeds niks aan gedaan. Nogmaals, Refoweb, een SSL-certificaat is in 2016 bijna een verplichting voor veilig internetgebruik. Hier moet serieus mee omgegaan worden, vrijwel elke goed bezochte website waar je op kan inloggen heeft een SSL-certificaat. Het kost op jaarbasis een paar tientjes, is zo geïnstalleerd en er zitten geen onderhoudsactiviteiten aan. Maak hier werk van!

MrD
Verkenner
Verkenner
Berichten: 23
Lid geworden op: 02 jan 2016 19:05

Re: SSL certificaat

Berichtdoor MrD » 13 mei 2016 20:14

Een certificaat is gewoon een must op een forum. Van iedereen die nu inlogt kan door een man in the middle attack gewoon de username en wachtwoord gelezen worden.

Overigens is een certificaat ook gewoon gratis te verkrijgen via https://letsencrypt.org/ je moet dan wel om de (uit m'n hoofd) 3 maanden vernieuwen; maar dat is volledig te automatiseren :).

Google is overigens bezig om websites zonder ssl lager in de zoekresultaten te plaatsen; en het zou me niks verbazen als binnen een paar jaar de browser gaat aangeven dat je een onbeveiligde site bezoekt indien er geen ssl cert op de site zit.


Terug naar “Archief”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast