Userbase

Ik vroeg me af hoe het mogelijk is dat er nog sites bestaan anno 2017 die nog steeds geen https aanbieden. En eigenlijk zou iedere site waar je je kan aanmelden enkel nog gebruik mogen maken van https.

Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....

Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?

Ik heb de indruk dat dikwijls de hele sessie in het algemeen inderdaad http is, maar dan bij het aanmelden even wordt overgegaan op https.

Maar inderdaad nog een hele hoop websites die gewoon geen https hebben of zelf passwords nog steeds in plain text opslaan . Elke keer nog huiveringen hier wanneer ik een bevestigingsmail aankrijg waar gewoon m'n paswoord instaat.

De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden. https://hln.be stuurt je door naar de http-variant. Idem voor Het Nieuwsblad maar bij immoweb krijg je zelfs een pagina dat ze geen https aanbieden (SSL not supported ).

Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?

Pengu schreef:De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden.

Het certificaat is hier nogal problematisch en een tijdbom.

cadsite schreef:Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?

Config hangt af van welke webserver/soort hosting.

Kost is gratis als je bereid bent elke 3 maand te vernieuwen. Let's Encrypt

Alvast bedankt voor deze info, ik zoek wat verder.
Mijn sites zitten bij antagonist.nl in een reseller account.

Welke software wordt er gebruikt om de domeinen te beheren?
In Directadmin en Cpanel is let's encrypt tegenwoordig geïntegreerd en is het niet meer dan het even te aktiveren. Het hernieuwen om de 3 maanden gebeurt dan ook automatisch.

Via Directadmin, ik kijk het even na.
Bedankt!

Pengu schreef:Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....

Security is steeds een afweging tussen de waarde van de data en de effort om hem veilig te stellen.

Een bank gaat z'n data anders beveiligen dan een boekenwinkel... of de sites die je aangeeft.

Pengu schreef:Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?

Iedereen werkt tegenwoordig met netwerk switches welke de pakketjes enkel naar de poort verzenden waarvoor ze zijn... jij zal dus met je wireshark niets zien van je collega naast je (wat niet wegneemt dat mensen van je IT afdeling het wel kunnen zien).

cadsite schreef:Mijn sites zitten bij antagonist.nl in een reseller account.

Het hangt een beetje af van het feit of je dedicated hosting hebt (met een eigen IP-adres) of shared hosting (veel sites op één IP)... in de laatste geval moet de server gebruikmaken van SNI (standaard kan je slechts één SSL website draaien per IP) en je als klant de mogelijkheid krijgen dit te configureren.

100% onveilige http: http://www.standaard.be/account/logon

Blijkbaar zijn er andere prioriteiten:
Mediahuis verhoogt winst met 11 procent

Bij transip bieden ze de mogelijkheid (in België) nog niet om een certificaat te importeren jammer genoeg, dus binnenkort verhuis ik men hosting zelf naar eentje dat dat wel voorziet
qua grote sites, gelukkig steeds minder en minder.

cadsite schreef:Via Directadmin, ik kijk het even na.
Bedankt!

Antagonist is nog bezig met integratie van letsencrypt in hun aangepaste versie van directadmin. Vraag het via het forum aan voor jouw account en je krijgt de ingebouwde mogelijkheid van Antagonist zelf om letsencrypt te gebruiken. Let op, dit is nog in testfase dus enkel beschikbaar na aanvraag en goedkeuring!

Anders is het gewoon een kwestie van de CSR en het verkregen certificaat te copypasten in het juiste veld in directadmin, dat heb ik indertijd gedaan voor mijn gratis certs van StartSSL (oeps!). Binnenkort tijd voor wat anders dus.

Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webho ... /ssl?s=ssl

Als je Let's Encrypt wil gebruiken zonder dat je de tool kan installeren... https://gethttpsforfree.com/

MClaeys schreef:Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webho ... /ssl?s=ssl

Dat had ik ook gevonden, maar om eerlijk te zijn, dit is voor mij zowat allemaal chinees. (of toch zeker Spaans )

Als https maar een kwestie van wat klikken in een admin panel is, wat is de meerwaarde er dan van?