Pagina 3 van 16

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 14:14
door pe1rxq
pa0bak schreef:
pa5cal schreef:Vooraleerst, poortscannen op een machine die niet van jou is is niet netjes.
Het was tevens een controle, of de deur(en) op slot zit(ten).
Dat mag ik bij jouw auto en je huis ook, dus waarom hier niet?
Als jij door de hele buurt de deuren en ramen afgaat wordt je ook meegenomen naar het politie bureau voor een goed gesprek.
En als je bij mij goebedoeld aan de deuren en ramen staat te rammelen vind ik dat inderdaad ook 'netjes'.
Al helemaal niet als je daarna op internet de resultaten zet met daarbij nog foute conclusies over het al dan niet aanwezig zijn van sloten.

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 15:15
door PA2EFR
Ik heb vanwege deze discussie vandaag drie domeinen op mijn privehomeserver gratis van een ssl certificaat voorzien met Letsencrypt/Certbot in Apache. Om te kijken hoe het gaat.
Vereiste is wel shell toegang, maar het was een fluitje van een cent.
https://www.ebenau.tk

Gisteren idem met een hostingaccount op Hostinger.nl. Hierbij moest je zelf de pembestanden op een server invullen,maar ook dat werkt prima. En gratis.
https://www.sterremuur.nl

Straks "doe" ik nog even pa2efr.nl, maar dat lijkt me ook geen problemen te geven.

Op welke server dan ook moet het gewoon lukken.

Voor wie zelf aan de slag wil:

https://certbot.eff.org/

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 15:28
door PA3CQN
pa0bak schreef: Alles is rekbaar, neem email, een leesbevestiging bestaat niet (ook al heet het soms wel zo), een briefgeheim bestaat (nog) alleen voor papieren mail, (nog) niet voor email.
Dus mogen er ook geen vertrouwelijke gegevens via email verzonden worden.
Gaan dat maar eens uitleggen aan de gemeente(n) en de artsen.
Waar de grens ligt, zal de toekomst uitwijzen...........

artsen gebruiken meestal gewoon een oude fax ;-) Zorgmail is ze te duur.

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 16:15
door elsinga
Ik heb www.pc5e.nl en www.elsinga.net (en .org, plus de meeste subdomeinen) al een tijdje geleden van gratis Let's Encrypt SSL certificaten voorzien, kan heel eenvoudig NextNextOK op mijn Synology NAS. Nut is voor de openbare webistes nagenoeg nul, maar voor andere subdomeinen weer wat meer. Maar goed, is gratis en goed genoeg. ;)

Voor za.com is het nut ook beperkt, maar als het voor een tientje per jaar kan is dat wel leuk. De kosten komen wel goed, gok ik zo.

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 16:30
door PA2EFR
Als iedereen een cent bijdraagt... ;)

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 17:05
door PA0BAK
pe1rxq schreef:Als jij door de hele buurt de deuren en ramen afgaat wordt je ook meegenomen naar het politie bureau voor een goed gesprek.
En als je bij mij goed bedoeld aan de deuren en ramen staat te rammelen vind ik dat inderdaad ook 'netjes'.
Al helemaal niet als je daarna op internet de resultaten zet met daarbij nog foute conclusies over het al dan niet aanwezig zijn van sloten.
De politie zou mij kunnen aanspreken, maar meer niet.
Wanneer ik 's-avonds mijn hond uitlaat, dan kijk ik vaak naar de knoppen op de deuren van auto's, of deze op slot zitten.
Staat een auto open, dan bel ik aan en waarschuw ik de mensen.
Rammelen is niet netjes, daarbij zouden ze open kunnen gaan en dan ben ik weer strafbaar.

Re: zendamateur forum onveilig...

Geplaatst: 09 mei 2017, 21:58
door Johan PD1JMB
Voor een eigen website met niet al te veel verkeer is https inschakelen tegenwoordig door LetsEncrypt een fluitje van een cent.

Je hebt wel bij druk bezochte fora een ander probleem: gebruikers gaan linken naar "onveilige" plaatjes waardoor je zelfs bij correct geconfigureerde SSL waarschuwingen in brouwsers krijgt door de mix van SSL en normaal HTTP verkeer. Om dat weer te voorkomen moet je alle externe plaatjes door het forum zelf laten downloaden en door SSL doorgeven, wat weer op extra verkeer en benodigde processorkracht neerkomt. Je komt dus niet zomaar van alle waarschuwingen van paranoïde browsers af :)

Re: zendamateur forum onveilig...

Geplaatst: 10 mei 2017, 06:43
door -----
Johan PD1JMB schreef:gebruikers gaan linken naar "onveilige" plaatjes waardoor je zelfs bij correct geconfigureerde SSL waarschuwingen in brouwsers
Daar heb je inderdaad een goed punt. dat wordt moeilijk te ondervangen. En wat mij betreft is volledig https forum ook niet echt noodzakelijk

Het grootste "gevaar" zit in de inlog procedure. Deze is nu onbeveiligd en daar klagen de brouwsers ook over.

Het beveiligen van de inlog procedure zou wat mij betreft "voorlopig" de beste optie zijn. En je bent dan ook gelijk van de "terechte" browser waarschuwingen af want volgens mij wordt die waarschuwing alleen gegeven bij een inlog procedure.

Het als klare tekst versturen van een wachtwoord over het internet is niet verstandig en absoluut niet meer nodig met de gratis ssl certificaten.

Re: zendamateur forum onveilig...

Geplaatst: 10 mei 2017, 16:37
door -Verwijderd account
PG8M schreef:Het grootste "gevaar" zit in de inlog procedure. Deze is nu onbeveiligd en daar klagen de brouwsers ook over.

Het beveiligen van de inlog procedure zou wat mij betreft "voorlopig" de beste optie zijn. En je bent dan ook gelijk van de "terechte" browser waarschuwingen af want volgens mij wordt die waarschuwing alleen gegeven bij een inlog procedure.
Ik heb nogal reacties losgemaakt, geloof ik.

Vrij recent ontving ik een email van een forumbeheerder waarin stond dat het betreffende forum gehackt was. Betrof dezelfde forumsoftware als wat hier op za.com gebruikt wordt. In de mail werd sterk aangeraden om je inlog-gegevens te veranderen en jezelf opnieuw aan te melden. De forumbeheerder heeft naar aanleiding van de hack de forumsoftware geüpdated naar de meest recente versie. En die begint nu inderdaad met "https://" op de adresregel.


Charles - PE2CH

Re: zendamateur forum onveilig...

Geplaatst: 11 mei 2017, 03:20
door PA0ETE
PG8M schreef:
Johan PD1JMB schreef:gebruikers gaan linken naar "onveilige" plaatjes waardoor je zelfs bij correct geconfigureerde SSL waarschuwingen in brouwsers
Daar heb je inderdaad een goed punt. dat wordt moeilijk te ondervangen. En wat mij betreft is volledig https forum ook niet echt noodzakelijk

Het grootste "gevaar" zit in de inlog procedure. Deze is nu onbeveiligd en daar klagen de brouwsers ook over.

Het beveiligen van de inlog procedure zou wat mij betreft "voorlopig" de beste optie zijn. En je bent dan ook gelijk van de "terechte" browser waarschuwingen af want volgens mij wordt die waarschuwing alleen gegeven bij een inlog procedure.

Het als klare tekst versturen van een wachtwoord over het internet is niet verstandig en absoluut niet meer nodig met de gratis ssl certificaten.
Een https-pagina met http-plaatjes wordt zelfs geheel niet weergegeven. Dat is de reden waarom ik het domein shorties.be niet in zijn geheel gedwongen op https kan zetten. Ik heb samen met de provider even gekeken, maar als we dat willen aanpassen moeten we meer dan 117000 van dat soort URL-verwijzingen aanpassen. De kans dat dat bij automatische verwerking misgaat is zo groot dat ik daar maar vanaf heb gezien.

Het probleem bij zendamateur.com is dat kosten en moeite niet zoveel groter zijn om de hele site https te maken of een deel.

Tjalling zit er wel bovenop om steeds de nieuwste versie van phpBB te gebruiken. Bij dingen die bèta zijn of wellicht nog niet stabiel, worden ze eerst op zijn eigen (ietwat kleiner) hamforum.nl uitgeprobeerd gedurende enkele weken. Het grootste risico is dan ook waarschijnljik dat er bij het inloggen meegekeken wordt. Wat er dan kan gebeuren is dat uit naam van zo'n gebruiker op het forum gepost kan worden. De kans is het grootst dat dat dan reclame is, met mogelijk verwijzingen naar malafide websites. Dat soort dingen komen soms ook voor doordat een niet-serieuze nieuwe gebruiker door de mazen glipt.

Het is overigens wel goed om zo'n onderwerp aan te kaarten hoor. Voor ons is het goed dat we nog eens eraan herinnerd worden, en tegelijk kunnen wij vertellen wat de beweegredenen zijn om het te doen zoals we dat doen.

Re: zendamateur forum onveilig...

Geplaatst: 03 dec 2018, 22:09
door SilverArrow
Pfffffff,

Tijdje niet op dit forum geweest, en met verbazing dit topic eens gelezen. Snap nog steeds niet dat hier geen ssl certificaat geinstalleerd is. Voor een beetje beheerder van een forum is dit nog geen paar minuten tijd, en ik weet waar ik over praat.
Behoudens dat de google ranking als een steen valt, ok, is met dit forum niet echt nodig, staat weinig informatie op, wat bijvoorbeeld de buurman gaat zoeken, iedere zendamateur kan de site wel vinden. Maar het is gewoon netter dat de site geen melding meer geeft.

Het probleem met linken en plaatsen van http beginnende url's op een https site, kun je makkelijk ondervangen door een aanpassing in je .htaccess te maken, neem aan dat de site op apache draait. Ook het omzetten van 117000 urls van http naar https kun je zo omzetten. Ofwel, je forceerd dus https ipv http. Je hoeft zelf niet eens wat te verzinnen, gelukkig zijn er handige snuiters dit dat allang hebben uitgedokterd, en gewoon te vinden op het wijde web.

Maar omdat dit topic al een tijdje oud is, zal het waarschijnlijk niet meer gebeuren. Best vreemd, zendamateurs geven duizenden euro's uit aan van alles en nog wat, willen bijna allemaal het beste van het beste, maar een ssl certificaat van LetsEncrypt (gratis) of bv comodo 19 euro per jaar, is net te veel....

Blijft toch vreemd, dat zendamateurisme.

Re: zendamateur forum onveilig...

Geplaatst: 03 dec 2018, 22:22
door PA0ETE
Het is niet alleen wat wij willen, maar ook wat de provider wil. Stel dat er nou eens 300 of 400 euro kosten aan zitten. Dat kan best, want op de huidige plek op dit moment geen SSL, dus moeten we om dat voor elkaar te boksen ergens anders heen. Ben jij dan als forumgebruiker in zo´n geval bereid om dat bedrag voor een deel te betalen, elke keer dat het bedrag voorbij komt? Echt veel gevraagd is dat natuurlijk niet.

Het forum is al die jaren gratis geweest, en daar hebben we ook pal voor gestaan. Maar ook nu zijn er kosten. Een forum met een database als er aan dit forum hangt breng je niet zomaar bij een eenvoudige provider voor een familiewebsite onder. Als er extra wensen zijn, dan zitten daar gewoon kosten aan vast. Dat is prima, maar ik vind dat zelf de kosten niet waard. En ik zie op zich ook geen probleem. Zoals je het schrijft is het probleem vooral cosmetisch.

Re: zendamateur forum onveilig...

Geplaatst: 04 dec 2018, 18:03
door PA0LMD
Ja, ik ben zeker bereid om een bijdrage te leveren als dat tot meer veiligheid zou leiden.
Dat zou ook een goed moment zijn om de regels aan te passen : geen fantasie namen meer maar calls of je echte naam, anders geen toegang meer.

Re: zendamateur forum onveilig...

Geplaatst: 04 dec 2018, 19:22
door PA2REH
PA0LMD schreef:Ja, ik ben zeker bereid om een bijdrage te leveren als dat tot meer veiligheid zou leiden.
Dat zou ook een goed moment zijn om de regels aan te passen : geen fantasie namen meer maar calls of je echte naam, anders geen toegang meer.
100 punten. Zowel met eerste als tweede punt helemaal mee eens

Re: zendamateur forum onveilig...

Geplaatst: 04 dec 2018, 19:42
door pe1rxq
Ik snap die obsessie met namen niet zo.
Het maakt het alleen maar makkelijker om de inhoud te negeren en dat gebeurt naar mijn mening al veel te veel.
Wordt je werkelijk gelukkiger als je weet wie het niet met je eens is?