Tijd voor https ?

Vragen of opmerking aan het adres van de Userbase kan je hier posten. Ook nieuws ivm Userbase wordt hier gepost.
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 4954
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 235 keer
Bedankt: 1542 keer

Tomsworld schreef:Mixed content is heel moeilijk op een forum
Totaal niet, in de forumregels kan je simpelweg het gebruik van https verplichten. Wanneer een forumgebruiker http hyperlinks gebruikt, pas je die automatisch aan naar https of geef je bij het verzenden van het forumbericht simpelweg een foutmelding.

In het geval van userbase hebben de mixed content meldingen voor 99% te maken met volgende oorzaken:
- speedtest images van gebruikers die domweg over http worden ingeladen
- geüploade gebruikersavatars op userbase.be die nog dommerweg via http worden ingeladen.
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16609
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 564 keer
Bedankt: 759 keer
Contacteer:

Mixed content is niet zozeer een HTTP vs HTTPS-verhaal, maar wel een "staan we externe content toe"-issue.
nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 dec 2011, 17:55
Locatie: Gent
Uitgedeelde bedankjes: 170 keer
Bedankt: 217 keer

Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 4954
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 235 keer
Bedankt: 1542 keer

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue.
Man-in-the-middle attacks zijn ook een non-issue zeker? Via zo'n http url kan eender wie op een openbare wifi een virus op jouw pc injecteren.

Het wordt toch eens hoog tijd dat iedereen gaat beseffen dat communicatie via internet per definitie onveilig is en uitsluitend kan beveiligd worden door encryptie zoals https.
nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 dec 2011, 17:55
Locatie: Gent
Uitgedeelde bedankjes: 170 keer
Bedankt: 217 keer

Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

nickz schreef:Ik gebruik zelden openbare Wi-Fi netwerken op mijn laptop. Op smartphone en tablet soms wel eens, maar daar gebruik ik Userbase via Tapatalk en Android is sowieso al niet zo vatbaar voor virussen. Als je een pc kan infecteren via een afbeelding (JPEG, PNG, GIF), dan is er wel sprake van een beveiligingslek dat veel ernstiger is dan een niet-versleutelde verbinding...
ik weet niet waar te beginnen... "zelden" = niet nooit, dus....
"android is sowieso al niet zo vatbaar voor virussen" - https://forensics.spreitzenbarth.de/android-malware/ (sorry to kill your dreams)
"een beveiligingslek dat veel ernstiger is dan...." - alles wat bestaat heeft zwakke punten, en die probeer je dan te beschermen door o.a. best practices:
bv met de auto is autodiefstal mss wel het ernsigere "probleem", maar dat wil niet zeggen dat je dus je wagen niet moet afsluiten. (er zijn zelfs boetes als je je wagen niet afsluit dacht ik)

een afbeelding moet nog steeds verwerkt worden, en dat kan idd een extra payload bevatten die bv de browser aanvalt, of het os, of ....
(zo voert/voerde o.a. de fbi acties uit op tor om via images de tor browser te omzeilen en een phone home te doen buiten tor om, om zo criminelen te vatten)

edit: vrij leuke read ivm threats voor pc en mobile, alsook http:

https://www.av-test.org/fileadmin/pdf/s ... 5-2016.pdf
HTTP as an Achilles‘ heel for malware
The AV-TEST analysis systems record and list "Blackhat SEO" and "Webdust PE
URL" Web threats currently waiting to ambush Internet users. In particular,
this includes websites infected with malware. Already when calling up such
infected online sites, malware attempts to hijack visiting PCs via software
vulnerabilities. For such drive-by downloads, criminals create their own
websites that they advertise by means of vast spam campaigns. But even
well-known and frequently-used online sites become hacked and infected for
purposes of malware proliferation. As the detection systems of AV-TEST
indicate, in 2015 attackers almost exclusively used websites with the
unprotected transfer protocol HTTP for distributing malware (97.88 percent).
Attacks via HTTPS sites were almost non-existent (2.12 percent).
je bent vast verder ook iemand die tracking graag heeft? (1 pixel transparante image op een site en huppa... maar he, tis maar een simpele image dus niet erg, toch? :))
nickz
Elite Poster
Elite Poster
Berichten: 1513
Lid geworden op: 09 dec 2011, 17:55
Locatie: Gent
Uitgedeelde bedankjes: 170 keer
Bedankt: 217 keer

Ik zou al niet meer weten wanneer de laatste keer is dat ik mijn laptop met een onbeveiligd/publiek Wi-Fi netwerk heb verbonden, maar goed, dat maakt op zich niet echt uit, want andere leden doen dat misschien wel.

Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload), niet via een afbeelding die hij heeft bekeken.

Een afbeelding moet uiteraard worden verwerkt, maar dat wil niet zeggen dat er daarom zomaar code wordt uitgevoerd die die afbeelding eventueel zou bevatten. Een afbeelding is een databestand volgens een gedefinieerd formaat, geen programmabestand of andere code die wordt uitgevoerd bij het openen/bekijken. Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.

HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.

Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.

(en van tracking lig ik niet wakker neen, denken dat je dat kan voorkomen is een illusie)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

nickz schreef:Natuurlijk bestaat er malware voor Android, maar dat is wel iets anders dan een virus. Dit zijn apps die de gebruiker zelf heeft geïnstalleerd (bv. via een APK-bestand dat hij van een malafide bron heeft gedownload)
lees ff over shedun: https://thehackernews.com/2015/11/andro ... stall.html
als bv een valide app in de play store geinfecteerd is, en jij die installeert (altijd mogelijk), dan kan die vervolgens andere apps installeren zonder jouw weten.
ik denk dat je dus ergens een beetje teveel waarde hecht aan een "false sense of security" (zoals dat ooit ook was met gebruikers van mac en linux, ook daar is de laatste jaren duidelijke verandering in gekomen)
nickz schreef:Als er toch code kan worden uitgevoerd, dan zit er een ernstige bug in de software die de afbeeldingen verwerkt.
helemaal mee eens, maar wil niet zeggen dat je als gebruiker zelf ineens geen verantwoordelijkheden meer moet hebben of nemen.
en zeker als site admin heb je een bepaalde verantwoordelijkheid (je kan bv ook argumenteren dat wachtwoorden in plain text opslaan een non-issue is, want je moet maar niet gehackt worden ...)
nickz schreef:HTTPS is trouwens ook niet waterdicht. Er zijn antivirussen, firewalls en proxies die HTTPS-verkeer inspecteren m.b.v. 'man-in-the-middle' certificaten.
niets is waterdicht, alles is een klein deel van een groter geheel.
overigens vraag ik me af hoe zaken als firewalls bv gaan reageren op certificate pinning en hpkp (niet dat dat al vaak geimplementeerd is)
en dan is een mitm aanval met zo'n certificaat nog steeds meestal gewoon iets dat lukt omdat het gebruikte cert toegevoegd is aan de vertrouwde certs van de computers.
nickz schreef:Het is nog niet zo lang geleden dat bijna alle websites via gewone HTTP werkten en het is nu niet dat we daardoor voortdurend virussen binnenkregen, verre van zelfs.
tgoh, "het is nog niet zolang geleden dat internet nog dial-up was, waarom zouden we nu breedband nodig hebben als we toen ook alles konden dat moest?" attitude.
maar soit, ieder heeft zijn eigen attitude, alleen hoop ik dat degene die er helemaal niet naar kijken (zoals jij blijkbaar) niets van beveiliging moeten doen of bedenken. (als gewone eindgebruiker met gezond verstand én een deftige firewall/antivirus zal het allemaal wel meevallen... spijtig genoeg is dat lang niet iedereen die toegang heeft tot internet)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

meon schreef:*yay*
I fixed it :).
Userbase draait nu op een Let's Encrypt Domain Validated SAN-certificate.

Met dank aan Splitter om een paar goeie sites door te geven met tips!
blijkbaar wel een subdomeintje vergeten ;)
http://userbase.be/forum/viewtopic.php?p=716910#p716910
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?
Gebruikersavatar
antutu
Pro Member
Pro Member
Berichten: 376
Lid geworden op: 12 jun 2017, 17:17
Uitgedeelde bedankjes: 147 keer
Bedankt: 37 keer

nickz schreef:Het feit dat bepaalde afbeeldingen worden geladen via een niet-versleutelde verbinding is in mijn ogen een non-issue. Ik vind dat er tegenwoordig nogal wordt overdreven met encryptie voor vanalles en nog wat.
+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS. Stel je eens voor dat je afgeluisterd wordt en men teweten komt wat jouw volgende breiproject wordt! Jeetjemina een mens mag gewoonweg niet denken aan zulke catastrofes.
There's something strange and you can't reboot. Who you gonna call? Joost Prutsers.
Gebruikersavatar
Goztow
userbase crew
userbase crew
Berichten: 13591
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1423 keer
Bedankt: 878 keer

r2504 schreef:Geen idee of het ergens al vermeld is... maar kan er een redirect/rewite gebeuren van http naar https ?
Dat zou kunnen, is het gewenst?
Bedank andere users voor nuttige posts, door op Afbeelding te klikken
liber!
Elite Poster
Elite Poster
Berichten: 783
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 130 keer
Bedankt: 55 keer

ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

antutu schreef:+1. Tegenwoordig is zelfs grootmoeder's breiblog beveiligd met HTTPS.
Als er ergens een login op die blog staat waarom niet (maar da's je grootmoeders keuze) ?

Echter geen idee waarom je deze discussie opnieuw wil starten... Userbase.be heeft een SSL certificaat dus waarom zouden we het niet gebruiken (en aangezien mensen nog vaak de https prefix niet zelf intypen is een redirect/rewrite toch wel handig lijkt me).
on4bam
Elite Poster
Elite Poster
Berichten: 4340
Lid geworden op: 05 mei 2006, 16:05
Uitgedeelde bedankjes: 249 keer
Bedankt: 331 keer

Goztow schreef:Dat zou kunnen, is het gewenst?
Lijkt mij logisch. indien iemand dan linkt naar de http pagina ga je automatisch naar https. Zou eigenlijk ook met de m.usebase mogen :angel: Niks zo vervelend dan m.userbase in een link als je op desktop werkt (of tablet). Gelukkig gebeurt dat maar sporadisch.
Bye, Maurice
https://on4bam.com
blaatpraat
Elite Poster
Elite Poster
Berichten: 1279
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 31 keer
Bedankt: 101 keer

Moest er nog een reden zijn dat een automatische rewrite niet kan of mag, dan kun je ook userbase toevoegen aan de HTTP Everywhere extensie:
https://www.eff.org/https-everywhere/fa ... everywhere

Gebruik dit al jaren zodat ik bijna overal automatisch op https zit, maar UB wordt nog niet ondersteund.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 67 keer
Bedankt: 397 keer

20 jaar geleden heb ik eens HTTPS opgezet, dat was toen uitzoekwerk.

Nu verschoot ik ervan hoe triviaal het wel is ....

yum install python2-certbot-apache.noarch
certbot --apache

Je vult dan een paar triviale vragen in, en klaar

Nog even poort 443 in firewalld enablen en klaar .... en ja het werkt!!
Gebruikersavatar
Converted
Pro Member
Pro Member
Berichten: 313
Lid geworden op: 11 aug 2006, 16:08
Uitgedeelde bedankjes: 15 keer
Bedankt: 13 keer

meon schreef:Mixed content is niet zozeer een HTTP vs HTTPS-verhaal, maar wel een "staan we externe content toe"-issue.
https://userbase.be/forum/viewtopic.php ... 55#p805755

Kan jij dit aub nu eens eindelijk op https forced zetten?
"ONEup -> 1000/40"
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16609
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 564 keer
Bedankt: 759 keer
Contacteer:

De website staat al enkele dagen op HTTPS only...
Dat deze eigen pagina een warning geeft komt ... omwille van jouw eigen avatar die aangeleverd wordt via HTTP.
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 12 keer
Bedankt: 78 keer
Contacteer:

De +1 Bedankt buttons (at least op de "nieuwe"? theme) worden ook via HTTP ipv HTTPS geleverd.

"http://userbase.be/forum/images/icons/k ... ks_red.gif"
CCatalyst
Elite Poster
Elite Poster
Berichten: 6659
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 18 keer
Bedankt: 386 keer

GuntherDW schreef:De +1 Bedankt buttons (at least op de "nieuwe"? theme) worden ook via HTTP ipv HTTPS geleverd.

"http://userbase.be/forum/images/icons/k ... ks_red.gif"
Deze afbeelding wordt nochtans door het thanks.css stijlbestand relatief aan de base URL ingeladen. Het wordt dus niet via een absolute http:// URL ingeladen.

De reden dat je alsnog een inlading via http ziet gebeuren is mogelijks doordat forumgebruiker Goztow, die 9 posts hierboven post, deze afbeelding met een absolute http:// link in zijn signature geplaatst heeft.
Gebruikersavatar
Goztow
userbase crew
userbase crew
Berichten: 13591
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1423 keer
Bedankt: 878 keer

Aangepast
Bedank andere users voor nuttige posts, door op Afbeelding te klikken
Gebruikersavatar
thomasv
Premium Member
Premium Member
Berichten: 515
Lid geworden op: 01 dec 2014, 16:52
Locatie: Regio Gent
Uitgedeelde bedankjes: 33 keer
Bedankt: 52 keer

Goztow schreef:Aangepast
Hulde!
 iPhone 12 Pro —  iPad (9th Gen) —  Apple TV 4K (2nd Gen) —  MacBook Pro
Gebruikersavatar
Converted
Pro Member
Pro Member
Berichten: 313
Lid geworden op: 11 aug 2006, 16:08
Uitgedeelde bedankjes: 15 keer
Bedankt: 13 keer

meon schreef:De website staat al enkele dagen op HTTPS only...
Dat deze eigen pagina een warning geeft komt ... omwille van jouw eigen avatar die aangeleverd wordt via HTTP.
Avatar wordt aangeleverd via gravatar...

Edit: Blijkbaar toch niet overal https. Maar zal dan wel te maken hebben met http content...
"ONEup -> 1000/40"
Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 5132
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 67 keer
Bedankt: 156 keer
Contacteer:

ip.userbase.be werkt nu niet meer... (auto redirect naar main page)
Gebruikersavatar
Goztow
userbase crew
userbase crew
Berichten: 13591
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1423 keer
Bedankt: 878 keer

Bedank andere users voor nuttige posts, door op Afbeelding te klikken
Gebruikersavatar
petrol242
Elite Poster
Elite Poster
Berichten: 4368
Lid geworden op: 17 sep 2012, 12:07
Uitgedeelde bedankjes: 88 keer
Bedankt: 271 keer

Afbeeldingen zijn nog steeds niet versleuteld?
Plaats reactie

Terug naar “Userbase: Aankondigingen, vragen en suggesties”