Is https veiliger dan http

Kom binnen en praat hier gezellig met mede Mint-gebruikers over alles en nog wat
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Vr 11 Aug 2017, 19:06

Ik denk dat de beschrijving op pagina
https://www.phpbb.com/support/docs/en/3 ... 5f89db441b
wel voldoende duidelijk maakt dat dit forum de inloggegevens wel codeert.

Wees er ook van verzekerd dat Linprofs, de beheerder van de LMNL server, geen risico neemt met beveiliging.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Vr 18 Aug 2017, 17:16

Hoe werkt Oauth en is het veilig?
Lees vooral het laatste stukje "Gemis aan encryptie"
http://computerworld.nl/security/100443 ... et-precies
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
nahjo
Senior
Senior
Berichten: 281
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Is https veiliger dan http

Berichtdoor nahjo » Za 19 Aug 2017, 08:42

Joan schreef:Lees vooral het laatste stukje "Gemis aan encryptie"

Precies helemaal juist en daarom zou https gewoon verplicht moeten zijn bij sites waar je moet inloggen. Goede actie van Mozilla toch?
Gebruikersavatar
Leon
Senior
Senior
Berichten: 197
Lid geworden op: Vr 21 Nov 2014, 09:12

Re: Is https veiliger dan http

Berichtdoor Leon » Za 19 Aug 2017, 18:19

Prima aktie, al zullen er altijd hele volksstammen zijn die het niet nodig vinden
LMDE 2 MATE x64
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Zo 20 Aug 2017, 14:03

Kennelijk niet het hele artikel gelezen.
Lees ook "Authenticatie vs. autorisatie" en "OAuth stap voor stap" (2. De tweede site genereert een one time token en secret die uniek zijn voor de transactie en de partijen die daarbij betrokken zijn.)
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
nahjo
Senior
Senior
Berichten: 281
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Is https veiliger dan http

Berichtdoor nahjo » Zo 20 Aug 2017, 14:25

Het is wel lachen met jou :D
Developers kunnen TLS-gebruik afdwingen en gebruikers moeten - net als bij het brwosen naar een online bankieromgeving - opletten dat TLS wordt gebruikt als ze via OAuth een credentialtransactie goedkeuren.

dus https :D
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Zo 20 Aug 2017, 17:01

Ik houd wel van een grapje, maar in dit geval wil ik echt weten of en wanneer inloggegevens via http gecodeerd zijn.
Volgens mij heb ik verschillende argumenten geleverd dat de inlog op dit forum is gecodeerd, of via de header of via het inlogvenster van dit forum.

Zoals op veel plaatsen wordt op https://security.stackexchange.com/ques ... n-via-http ook hevig gediscussieerd over de veilige inlog via http en https. In reactie nr 20 staat kort omschreven welke beveiliging in http kan worden gebruikt.
In https://tools.ietf.org/html/rfc2617#ref-5 staat precies omschreven wat http inhoudt en hoe de beveiliging werkt.
In https://en.wikipedia.org/wiki/Basic_acc ... entication staat over HTTP Basic authentication (BA) "They are merely encoded with Base64 in transit, but not encrypted or hashed in any way." en meer wetenswaardigheden.
In https://en.wikipedia.org/wiki/Digest_ac ... entication wordt beschreven wat Digest access authentication in http betekend.
In https://en.wikipedia.org/wiki/List_of_H ... der_fields staat beschreven wat in een http header kan worden geplaatst.
In https://developer.mozilla.org/en-US/doc ... entication staat weer "In the case of a "Basic" authentication like shown in the figure, the exchange must happen over an HTTPS (TLS) connection to be secure.", waarbij het voor mij onduidelijk is hoe dat in http wordt geïmplementeerd.
In https://docs.microsoft.com/en-us/dotnet ... entication wordt nog NTLM en Negotiate beschreven.

Dat de inhoud van http zichtbaar kan worden gemaakt heb ik nooit betwijfelt.
Dat de inhoud via https veiliger is dan http betwijfel ik niet, maar dat het ook niet veilig is wordt dagelijks door de praktijk bewezen.

Al met al een, in het algemeen, niet makkelijk te beantwoorden onderwerp. Daarnaast worden loggegevens vaker door fishing of valse sites verkregen en zijn er ook issues met uitloggen.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Zo 20 Aug 2017, 17:12

De wachtwoordsterretjes in een inlogvenster hebben ook geen nut.
Klik maar eens met rechts op de sterretjes en klik "Element inspecteren".
Verander daarna het woord "password" bij type= in "tekst" en zie wat er gebeurd.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Leon
Senior
Senior
Berichten: 197
Lid geworden op: Vr 21 Nov 2014, 09:12

Re: Is https veiliger dan http

Berichtdoor Leon » Zo 20 Aug 2017, 17:16

nahjo schreef:Het is wel lachen met jou :D

Persoonlijk vind ik het eerder om te janken ...
LMDE 2 MATE x64
Gebruikersavatar
nahjo
Senior
Senior
Berichten: 281
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Is https veiliger dan http

Berichtdoor nahjo » Zo 20 Aug 2017, 18:21

Er is hoop ;)
Dat de inhoud van http zichtbaar kan worden gemaakt heb ik nooit betwijfelt.
Dat de inhoud via https veiliger is dan http betwijfel ik niet,


Dus op de vraag (zie ondderwerp) is https veiliger dan http is het antwoord: JA :D
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Zo 20 Aug 2017, 18:42

Inderdaad veiliger, maar ook niet geheel veilig. Moeilijker te ontcijferen maar wordt toch dagelijks gekraakt. Is ook niet gek omdat https alleen de verstuurde http data codeert. Criminelen zijn ook niet gek. Er worden miljoenen verdiend met het kraken van internetverbindingen. Code hiervoor kan ook jij op internet vinden net zoals scriptkiddies het vinden.

Deze discussie is ontstaan op de vraag of inloggen op dit forum veilig is. Dat wordt echter door enkele leden ontkent met het argument dat http geheel onveilig zou zijn en dat is niet het geval.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Annamintie
Junior
Junior
Berichten: 63
Lid geworden op: Zo 11 Mei 2014, 17:59

Re: Is https veiliger dan http

Berichtdoor Annamintie » Ma 21 Aug 2017, 00:50

Ik denk dat internet voor de doorsnee mens uitkijken geblazen is. Maar er zijn ook nog zoveel mensen die niet luisteren en alles opengooien.
Al jaren wordt er gewaarschuwd dat er websites worden gekopieerd voor criminele doeleinden.
Dat je niet zomaar via een mail naar je bank moet gaan ivm phising, of fantastische prijzen winnen bij bekende winkels die waarschuwingen op hun site hebben staan hierover. Dat je je paspoort niet moet laten zien bij aankopen zoals bijvoorbeeld marktplaats en ga zo maar door.
Vandaag wordt er een nieuwe sleutel voor veilig inloggen ontworpen, morgen wordt die gehackt of hoe je dat noemen wil. Er is veel geld te verdienen met het internet, meestal door narigheid te veroorzaken.
En daar er te veel mensen lichtzinnig denken hierover zal dit aanhouden met welke versleuteling dan ook.
Zaak is om op je hoede te blijven met wat je doet op het internet en als je dat doet kan het heel leuk zijn.
Zolang een forum niet om bij Burgerservicenummer, paspoort, pincode of ander persoonlijke items vraagt vind ik het best.
Gebruikersavatar
nahjo
Senior
Senior
Berichten: 281
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Is https veiliger dan http

Berichtdoor nahjo » Ma 21 Aug 2017, 09:09

Het is zeer verstandig om per webstek een ander wachtwoord te gebruiken al of niet met https. Je voorkomt hiermee dat bij aflluisteren/hack van PC/hack van server de gegevens op andere veel belangrijkere wedstekken gebruikt kunnen worden.

Volgens mij is per wet al geregeld dat persoonlijke gegevens versleuteld worden verzonden (https is een mogelijkheid). Een punt van discussie kan zijn dat een wachtwoord een persoonlijk ggeven is :) maar ik denk dat die wet daar nou niet voor is gemaakt. Voor dit forum is een http verbinding wel voldoende mits je voorzichtig met je wachtwoord bent.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1615
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Ma 21 Aug 2017, 18:07

Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
nahjo
Senior
Senior
Berichten: 281
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Is https veiliger dan http

Berichtdoor nahjo » Di 22 Aug 2017, 17:10

Joan schreef:Veiligheid van https, http://webwereld.nl/security/100461-win ... headline-3.

verkeerde link? Die link gaat over webtrackers en bitcoins.

Terug naar “Het Mint café”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast