Auteur Topic: HTTPS  (gelezen 1901 keer)

Offline Brick

  • Full Member
  • Vind-ik-leuks
  • -Gegeven: 22
  • -Ontvangen: 17
  • Berichten: 89
  • Flight tag: 21
HTTPS
« Gepost op: mei 13, 2016, 22:20 »
Hallo forumleden,

Ik vind dit een geweldig forum met een geweldige community, ik vind het geweldig om geholpen te worden en af en toe ook anderen proberen te helpen.

Dit werkt allemaal perfect, maar wat steeds belangrijker wordt is veiligheid. Op dit moment gaat het wachtwoord gehasht (en gesalt?!) over de http verbinding heen, dit is niet het meest veilige maar beter dan in plain text.

Maar wat me wel een beetje doet schrikken is dat de cookies ook in plain text over de lijn heen gaan. Ik heb deze cookies kunnen opvangen met Wireshark en op een andere pc in kunnen vullen en dan kom je zonder wachtwoord in de sessie van de andere user.

Dit is hetzelfde voor PM's die worden verstuurd, deze gaan onversleuteld over het internet heen en zijn dus makkelijk af te luisteren via een MitM aanval.

Daarom stel ik voor dat FPV-Racing een SSL certificate aanschaft, of nog beter er één (gratis) aanvraagt bij https://letsencrypt.org/

Dit zorgt niet alleen voor een veel betere veiligheid, maar ook zal het forum hoger geranked worden in google.

Offline Björn

  • Administrator
  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 729
  • -Ontvangen: 352
  • Berichten: 1.427
    • FPV-Racing.nl
  • Flight tag: 77
Re: HTTPS
« Reactie #1 Gepost op: mei 14, 2016, 07:27 »
Hoi Brick,

Thanks voor je suggestie.
Dit is iets waar ik al een tijdje mee rondloop. Ik heb echter nog geen werkbare oplossing gevonden. De hele site HTTPS maken is eigenlijk niet echt een optie, want men include vaak externe afbeeldingen via HTTP links in posts, en die worden dan door de meeste browsers niet geladen, en ze resulteren dan in een beveiligingswaarschuwing. Dit is heel misschien op te lossen door een censuur in te stellen op http://  en dit automatisch te laten vervangen door https://. Dat moet even testen, en dan moeten alle externe bronnen natuurlijk wel https ondersteunen.
Ook zitten er in de template honderdmiljard http links en includes volgens mij, dus dat is dan nogal een werkje om aan te passen  ;D
Er is wel een plugin voor secure login, maar die is in 2009 voor het laatst bijgewerkt, en daar ben ik dan ook een beetje huiverig voor. Daarnaast is heel onduidelijk wat die plugin exact doet.
Binnen SMF is wel een optie om iets met SSL en cookies te doen, maar de uitleg daarbij is nogal onduidelijk  :S
Ik zal hier van de week nog eens verder in duiken. Hulp is welkom ;)

Groet,
Björn

Offline jaapp

  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 210
  • -Ontvangen: 292
  • Berichten: 562
    • Drone Race Support
  • Flight tag: 50
Re: HTTPS
« Reactie #2 Gepost op: mei 14, 2016, 11:56 »
Die mixed content waarschuwing is een lastige. Chrome is iig zo aangepast dat het geen probleem meer is:
http://arstechnica.com/information-technology/2015/10/chrome-finally-kills-off-the-http-https-mixed-content-warning/

Offline Björn

  • Administrator
  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 729
  • -Ontvangen: 352
  • Berichten: 1.427
    • FPV-Racing.nl
  • Flight tag: 77
Re: HTTPS
« Reactie #3 Gepost op: januari 19, 2017, 12:08 »
Nou, uiteindelijk is het dan gebeurd: een heus SSL certificaat.  8)

Mocht iemand iets tegenkomen wat nog niet werkt, of ergens een mixed contect melding of iets dergelijks, dan hoor ik het heel graag zodat ik het kan fixen.

Niet secure extern gehoste afbeeldingen worden via een image proxy opgehaald en zouden daardoor geen probleem mogen vormen.

Offline pielie

  • Full Member
  • Vind-ik-leuks
  • -Gegeven: 27
  • -Ontvangen: 36
  • Berichten: 195
  • Flight tag: 68
Re: HTTPS
« Reactie #4 Gepost op: januari 19, 2017, 15:49 »
Ik zeg fabtastisch...  :!:

Ware het niet dat de tapatalk plugin er weer mee is gestopt..  ::)

Obsession KISS, TC-R220 2300Kv F3, X210 2600Kv F4, FrSky X9D+

Offline Björn

  • Administrator
  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 729
  • -Ontvangen: 352
  • Berichten: 1.427
    • FPV-Racing.nl
  • Flight tag: 77
Re: HTTPS
« Reactie #5 Gepost op: januari 19, 2017, 16:27 »
Ik had daar de forum URL nog staan als http:// en dat vindt tapatalk niet leuk denk ik. Bij mij werkt het nu. Kun jij ook eens testen?

Offline pielie

  • Full Member
  • Vind-ik-leuks
  • -Gegeven: 27
  • -Ontvangen: 36
  • Berichten: 195
  • Flight tag: 68
Re: HTTPS
« Reactie #6 Gepost op: januari 19, 2017, 16:39 »
Check... hij doet het weer.. :!:
Obsession KISS, TC-R220 2300Kv F3, X210 2600Kv F4, FrSky X9D+

Offline Björn

  • Administrator
  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 729
  • -Ontvangen: 352
  • Berichten: 1.427
    • FPV-Racing.nl
  • Flight tag: 77
Re: HTTPS
« Reactie #7 Gepost op: januari 19, 2017, 16:45 »
 ::thumbup::

Offline Lemon

  • Full Member
  • Vind-ik-leuks
  • -Gegeven: 54
  • -Ontvangen: 34
  • Berichten: 177
  • Flight tag: 71
Re: HTTPS
« Reactie #8 Gepost op: januari 19, 2017, 17:01 »
Mooi, ik heb de site ook even langs een SSL controle site gehaald en ook dat ziet er goed uit.  ::thumbup::

https://www.ssllabs.com/ssltest/

Wel ff vinkje uitzetten bij Do not show......

Racer 1 : ImpulseRC Alien 5" diverse setups
Racer 2 : ImpulseRC Alien 5/6", Omnibus F3 AIO, TBS Micro Receiver, Racerstar 30A Esc, Runcan Eagle 2
Racer 3 : ImpulseRC Helix ZX5 en Strecht ZX5, ImpulseRC FC, FrSky X4R SB, T-Motor F-40 II 2400kv, Aikon 30A BLHeli_S 4S
Racer 4 : ImpulseRC Reverb 5", Omn

Offline Björn

  • Administrator
  • Hero Member
  • *
  • Vind-ik-leuks
  • -Gegeven: 729
  • -Ontvangen: 352
  • Berichten: 1.427
    • FPV-Racing.nl
  • Flight tag: 77
Re: HTTPS
« Reactie #9 Gepost op: januari 19, 2017, 19:00 »
 ::thumbup::