Pagina 1 van 3

Is https veiliger dan http

Geplaatst: Do 13 Jul 2017, 20:24
door Joan
Dit is een reactie op viewtopic.php?f=7&t=3371#p17909

Http is altijd al zo geweest, dus niets bijzonders. Systeem en programmaontwikkelaars willen niet graag oude programma's onderhouden als er grote nieuwe ontwikkelingen zijn en zeker niet als met een nieuwe systeem geld te verdienen is.
De IPS (Internet Provider) en browser ontwikkelaars zitten nu met twee systemen waar ze vanaf willen. Net als Windows, Apple en ook Linux Mint die na het ontwikkelen van nieuwe systemen de oude uitfaseren.

Willen we veilig internet?
Ja !! Het bedrijfsleven heeft behoeft aan meer gesloten internetverkeer via browsers en daardoor is https ontwikkeld. Daarna werden en worden veel berichten over onveilig internet verspreid om https onder de aandacht te brengen.
Nee !! Nu zijn overheden bezig om gecodeerd internet (https) te verbieden en ontwikkelen wetten om openheid af te dwingen.

Waarvoor was een browser bedoeld?
Een browsers is nooit bedoeld om gegevens te verzenden maar om informatie te verspreiden maar wordt nu anders gebruikt.
Goole, Facebook, Twitter enz. hebben er een verdienmodel van gemaakt en ook browsers verdienen nu geld aan alles wat via een browser worden verstuurd.

Is https echt veilig?
Als https zo veilig is, hoe kan het dan dat Goole, Facebook, Twitter enz. alles weten wat er via een browser wordt verstuurd. Dat zou dan ook niet mogen kunnen. Zolang dat kan is https niets waard voor de gewone gebruikers zoals jij en ik, en niets waard voor een krant en niets waard voor een forum en niets waard voor een blog, want die willen alleen informatie uitwisselen.

Is https gratis?
Maar wel betalen voor een https certificaat, weer inkomsten voor een IP of certificaat instantie. Denk je dat een krant een https certificaat gaat betalen zodat wij gratis de krant kunnen lezen? En zeg niet dat er nu ook gratis certificaten zijn, want die zijn niet voor bedrijven en hebben maar een beperkte mogelijkheid en waarschijnlijk ook later niet meer gratis als er genoeg gebruikers bang zijn gemaakt voor dat onveilige http.

Een oud alternatief om veilig gegevens te verzenden.
Daarentegen is e-mail wel geschikt om gegevens te verzenden, net als een postbrief zit dat in een gesloten envelop. Via e-mail heb je een afgesloten systeem waarin je veiliger gegevens kunt verzenden.

Maar mensen zijn mensen en willen alles makkelijk, Facebook, Watsapp, enz. en hebben geen zin om even een e-mail te schrijven, zooooooooo lastig!!!

En denk eens over wat Pjotr schrijft "Alles is te kraken. Niets is veilig, dus zorg voor zoveel mogelijk niets"

Re: Is https veiliger dan http

Geplaatst: Do 13 Jul 2017, 21:06
door Leon
Sorry Joan, maar je raaskalt

Re: Is https veiliger dan http

Geplaatst: Do 13 Jul 2017, 21:38
door Arie
Sorry Joan, ik heb me lang afzijdig gehouden van dit forum maar nu kan ik me effe niet inhouden, het valt me op dat je steeds meer en vaker onzin verkondigd.
De leden van Linux Mint NL (de 1e en enige officiƫle Linux Mint NL Community) verdienen beter. je banned mensen die meer verstand hebben van Linux dan jij ooit zal krijgen. Ik zal de eerste zijn om te zeggen dat een Nomko vaak lomp is / was maar zijn kennis van Linux is iets waar jij alleen maar van kan dromen.Het geeft ook te denken dat in de tijd dat Bas en ik admin waren op dit forum we totaal geen problemen hadden met Nomko. Mss moet jij eens gaan nadenken over hoe dit forum tegenwoordig gerunt wordt.

Re: Is https veiliger dan http

Geplaatst: Vr 14 Jul 2017, 00:13
door Joan
Ik heb geen verstand van Linux Mint. Ik heb wel mijn persoonlijke ervaring daarmee en lees over de ervaringen van anderen.
Ik wil graag in discussie over mijn benadering van onderwerpen, maar dan wel per PB omdat het persoonlijk kan worden en dat hoort niet in het openbaar.

Even wat leesvoer om duidelijk te maken hoe ik aan informatie kom. Een greep uit de laatste berichten.
http://webwereld.nl/security/98982-besc ... en-sleutel
http://webwereld.nl/security/99552-spli ... windows-xp
http://webwereld.nl/security/99867-verz ... -inpluggen
http://webwereld.nl/security/99801-dief ... r-helpdesk

Re: Is https veiliger dan http

Geplaatst: Vr 14 Jul 2017, 01:19
door Joan
Nog maar iets.
Waarom Google websites met HTTPS beloont met een hogere ranking in de zoekresultaten?
Om SEO, de zoekmachine. Niet om de veiligheid.
https://www.friks.frl/blog/http-versus-https/

Re: Is https veiliger dan http

Geplaatst: Vr 14 Jul 2017, 04:33
door Joan
En dan lees ik vandaag in de krant
"e-mail is zo'n gedoe" http://www.telegraaf.nl/binnenland/2859 ... suf__.html
Wie raaskalt?
En deze over veilig internet http://www.telegraaf.nl/buitenland/2860 ... iet__.html.
Wie raaskalt?
Netflix: 'We weten wat je keek, wanneer, hoelang'. Ook met https. Heb ik niet verzonnen. http://www.telegraaf.nl/digitaal/285257 ... ng___.html.
Wie raaskalt?
Foute app abonneert stiekem op sms-dienst. http://www.telegraaf.nl/dft/geld/consum ... nst__.html
Agent zet zwaar in op sociale media. http://www.telegraaf.nl/binnenland/2862 ... dia__.html
Wie raaskalt?

En nog meer van die onzinberichten, elke dag weer. Hoezo is https veiliger, voor wie? En ja, http Telegraaf, maar ook AD en HD enz.

Re: Is https veiliger dan http

Geplaatst: Vr 14 Jul 2017, 19:59
door Wilfried1954
HTTPS is alleen interessant om "veilige" informatie te krijgen of te verzenden, zoals bankgegevens en andere vertrouwelijke informatie. Verder vraagt het alleen maar een veel grotere payload.

Re: Is https veiliger dan http

Geplaatst: Za 15 Jul 2017, 03:09
door Joan
Ik ken ook geen enkele site die alleen informatie verspreid en https gebruikt.
Facebook enz. gebruiken https omdat prive berichten kunnen worden verstuurd.
De Linux Mint sites gebruiken http, precies zoals kranten, computerworld, webwereld, enz. omdat er geen prive berichten kunnen worden verspreid.

Re: Is https veiliger dan http

Geplaatst: Za 15 Jul 2017, 08:00
door Leon
Joan schreef:De Linux Mint sites gebruiken http

Dat geld voor Linux Mint nederland
https://linuxmint.com/
https://forums.linuxmint.com
Op het nl forum worden je inloggevens gewoon onversleuteld verstuurd, best wel een kwalijke zaak, zeker gezien er zo achteloos mee omgesprongen wordt.

Re: Is https veiliger dan http

Geplaatst: Za 15 Jul 2017, 20:45
door Joan

Re: Is https veiliger dan http

Geplaatst: Za 15 Jul 2017, 21:48
door Leon
Ja, en?
Volgens mij snap je het nog steeds niet

Re: Is https veiliger dan http

Geplaatst: Za 15 Jul 2017, 21:59
door Joan
Ik snap niet hoe jij inloggegevens van een site kan lezen. Ik krijg het op een normale manier niet voor elkaar. Kun je dat uitleggen?

Re: Is https veiliger dan http

Geplaatst: Zo 16 Jul 2017, 18:00
door Wilfried1954
Joan schreef:Ik snap niet hoe jij inloggegevens van een site kan lezen. Ik krijg het op een normale manier niet voor elkaar. Kun je dat uitleggen?

Ik begrijp de bedoeling van de discussie niet goed, maar hier kan ik wel op antwoorden. Als ik inloggegevens wil weten van een persoon op een bepaalde site heb ik enkele mogelijkheden:

Ofwel als 'man in between' dus een mail versturen zodat die persoon gaat inloggen op een valse site, mijn valse site dus, en dan kan ik uiteraard alles te weten komen als die persoon niet doorheeft dat hij op een verkeerde site zit (dat kan dan gewoon ook HTTPS zijn). Dus met scam mailtjes - vrij veel voorkomend en de persoon moet er dan nog intrappen. Een tweede mogelijkheid van 'man in between' is met een proxy server. Dan moet de persoon (op dezelfde manier) via mijn proxy verbinden. mijn proxy stuurt de data heen en weer naar de "echte" site. Zo kan ik ook alles loggen, zelfs in HTTPS.

Ofwel door te gaan aftappen. Dat kan als ik het IP adres weet van die persoon en ga aftappen op de kabel (als hij met kabel werkt). Als hij met PSDN werkt is dat natuurlijk moeilijker. Een andere mogelijkheid is te gaan werken bij zijn ISP. Dan kan het al iets 'gemakkelijker' - doch alleen bij HTTP, met HTTPS wordt het moeilijker, tenzij het protocol HTTPS versie 1.xx is, want dat is al lang gekraakt. De kans dat dit gebeurt is natuurlijk afhankelijk van de belangrijkheid van de persoon in kwestie - want dat is uiteraard geen kwestie van "even aftappen". Vroeger met de oude telefoonlijnen ging dat wat gemakkelijker, dan kon je in een kastje op de straat met krokodileklemmen iemand zijn telefoonlijk gewoon aftappen (als je niet ontdekt werd).

Ofwel binnendringen op de private LAN van die persoon en spyware installeren, of een bot. Tja er zijn wel wat mogelijkheden. Spyware of bot lijken mij moeilijk in Linux - gemakkellijk in Windows.

Ik heb hier niet veel schrik van. Ik ben tenslotte geen president of een andere belangrijke persoon. Als er iemand mij zo belangrijk vind om mijn login op een site te weten komt zal ik mij vereerd voelen ;-)

Re: Is https veiliger dan http

Geplaatst: Zo 16 Jul 2017, 18:58
door Joan
De discussie is ontstaan door de mening dat inloggegevens via http ongecodeerd worden verzonden.

Ook uit het bericht van Wilfried begrijp ik dat inloggegevens op een legitieme site altijd gecodeerd zijn en niet leesbaar zonder speciale acties.

Re: Is https veiliger dan http

Geplaatst: Do 20 Jul 2017, 10:34
door Wilfried1954
in de standaard HTTP authorisation is een login gecodeerd in Base64. Base64 is wel eenvoudig terug te decoderen naar gewone tekst. Bijvoorbeeld de string: username:password ziet er zo uit: Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Bij HTTP wanneer geen standaard authorization gebruikt wordt (zoals op deze site) is het de autheur van de site die de beveiliging bepaald.

Na het inloggen wordt er een cookie gestuurd naar je browser. Deze cookie is slechts een zeer beperkte tijd geldig en die word meegestuurd telkens bij een GET. Met dat cookie is iemand anders niets, zelfs al onderschep je het.

Als ik jouw internetverbinding zou kunnen gaan aftappen (wat op zich al niet simpel is) en ik log je internet traffic op het ogenblik van je inlog (en alleen op dat ogenblik) dan zou ik je usernaam en paswoord kunnen decoderen.