Pagina 2 van 3

Re: Is https veiliger dan http

Geplaatst: Vr 11 Aug 2017, 19:06
door Joan
Ik denk dat de beschrijving op pagina
https://www.phpbb.com/support/docs/en/3 ... 5f89db441b
wel voldoende duidelijk maakt dat dit forum de inloggegevens wel codeert.

Wees er ook van verzekerd dat Linprofs, de beheerder van de LMNL server, geen risico neemt met beveiliging.

Re: Is https veiliger dan http

Geplaatst: Vr 18 Aug 2017, 17:16
door Joan
Hoe werkt Oauth en is het veilig?
Lees vooral het laatste stukje "Gemis aan encryptie"
http://computerworld.nl/security/100443 ... et-precies

Re: Is https veiliger dan http

Geplaatst: Za 19 Aug 2017, 08:42
door nahjo
Lees vooral het laatste stukje "Gemis aan encryptie"
Precies helemaal juist en daarom zou https gewoon verplicht moeten zijn bij sites waar je moet inloggen. Goede actie van Mozilla toch?

Re: Is https veiliger dan http

Geplaatst: Za 19 Aug 2017, 18:19
door Leon
Prima aktie, al zullen er altijd hele volksstammen zijn die het niet nodig vinden

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 14:03
door Joan
Kennelijk niet het hele artikel gelezen.
Lees ook "Authenticatie vs. autorisatie" en "OAuth stap voor stap" (2. De tweede site genereert een one time token en secret die uniek zijn voor de transactie en de partijen die daarbij betrokken zijn.)

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 14:25
door nahjo
Het is wel lachen met jou :D
Developers kunnen TLS-gebruik afdwingen en gebruikers moeten - net als bij het brwosen naar een online bankieromgeving - opletten dat TLS wordt gebruikt als ze via OAuth een credentialtransactie goedkeuren.
dus https :D

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 17:01
door Joan
Ik houd wel van een grapje, maar in dit geval wil ik echt weten of en wanneer inloggegevens via http gecodeerd zijn.
Volgens mij heb ik verschillende argumenten geleverd dat de inlog op dit forum is gecodeerd, of via de header of via het inlogvenster van dit forum.

Zoals op veel plaatsen wordt op https://security.stackexchange.com/ques ... n-via-http ook hevig gediscussieerd over de veilige inlog via http en https. In reactie nr 20 staat kort omschreven welke beveiliging in http kan worden gebruikt.
In https://tools.ietf.org/html/rfc2617#ref-5 staat precies omschreven wat http inhoudt en hoe de beveiliging werkt.
In https://en.wikipedia.org/wiki/Basic_acc ... entication staat over HTTP Basic authentication (BA) "They are merely encoded with Base64 in transit, but not encrypted or hashed in any way." en meer wetenswaardigheden.
In https://en.wikipedia.org/wiki/Digest_ac ... entication wordt beschreven wat Digest access authentication in http betekend.
In https://en.wikipedia.org/wiki/List_of_H ... der_fields staat beschreven wat in een http header kan worden geplaatst.
In https://developer.mozilla.org/en-US/doc ... entication staat weer "In the case of a "Basic" authentication like shown in the figure, the exchange must happen over an HTTPS (TLS) connection to be secure.", waarbij het voor mij onduidelijk is hoe dat in http wordt geïmplementeerd.
In https://docs.microsoft.com/en-us/dotnet ... entication wordt nog NTLM en Negotiate beschreven.

Dat de inhoud van http zichtbaar kan worden gemaakt heb ik nooit betwijfelt.
Dat de inhoud via https veiliger is dan http betwijfel ik niet, maar dat het ook niet veilig is wordt dagelijks door de praktijk bewezen.

Al met al een, in het algemeen, niet makkelijk te beantwoorden onderwerp. Daarnaast worden loggegevens vaker door fishing of valse sites verkregen en zijn er ook issues met uitloggen.

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 17:12
door Joan
De wachtwoordsterretjes in een inlogvenster hebben ook geen nut.
Klik maar eens met rechts op de sterretjes en klik "Element inspecteren".
Verander daarna het woord "password" bij type= in "tekst" en zie wat er gebeurd.

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 17:16
door Leon
Het is wel lachen met jou :D
Persoonlijk vind ik het eerder om te janken ...

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 18:21
door nahjo
Er is hoop ;)
Dat de inhoud van http zichtbaar kan worden gemaakt heb ik nooit betwijfelt.
Dat de inhoud via https veiliger is dan http betwijfel ik niet,
Dus op de vraag (zie ondderwerp) is https veiliger dan http is het antwoord: JA :D

Re: Is https veiliger dan http

Geplaatst: Zo 20 Aug 2017, 18:42
door Joan
Inderdaad veiliger, maar ook niet geheel veilig. Moeilijker te ontcijferen maar wordt toch dagelijks gekraakt. Is ook niet gek omdat https alleen de verstuurde http data codeert. Criminelen zijn ook niet gek. Er worden miljoenen verdiend met het kraken van internetverbindingen. Code hiervoor kan ook jij op internet vinden net zoals scriptkiddies het vinden.

Deze discussie is ontstaan op de vraag of inloggen op dit forum veilig is. Dat wordt echter door enkele leden ontkent met het argument dat http geheel onveilig zou zijn en dat is niet het geval.

Re: Is https veiliger dan http

Geplaatst: Ma 21 Aug 2017, 00:50
door Annamintie
Ik denk dat internet voor de doorsnee mens uitkijken geblazen is. Maar er zijn ook nog zoveel mensen die niet luisteren en alles opengooien.
Al jaren wordt er gewaarschuwd dat er websites worden gekopieerd voor criminele doeleinden.
Dat je niet zomaar via een mail naar je bank moet gaan ivm phising, of fantastische prijzen winnen bij bekende winkels die waarschuwingen op hun site hebben staan hierover. Dat je je paspoort niet moet laten zien bij aankopen zoals bijvoorbeeld marktplaats en ga zo maar door.
Vandaag wordt er een nieuwe sleutel voor veilig inloggen ontworpen, morgen wordt die gehackt of hoe je dat noemen wil. Er is veel geld te verdienen met het internet, meestal door narigheid te veroorzaken.
En daar er te veel mensen lichtzinnig denken hierover zal dit aanhouden met welke versleuteling dan ook.
Zaak is om op je hoede te blijven met wat je doet op het internet en als je dat doet kan het heel leuk zijn.
Zolang een forum niet om bij Burgerservicenummer, paspoort, pincode of ander persoonlijke items vraagt vind ik het best.

Re: Is https veiliger dan http

Geplaatst: Ma 21 Aug 2017, 09:09
door nahjo
Het is zeer verstandig om per webstek een ander wachtwoord te gebruiken al of niet met https. Je voorkomt hiermee dat bij aflluisteren/hack van PC/hack van server de gegevens op andere veel belangrijkere wedstekken gebruikt kunnen worden.

Volgens mij is per wet al geregeld dat persoonlijke gegevens versleuteld worden verzonden (https is een mogelijkheid). Een punt van discussie kan zijn dat een wachtwoord een persoonlijk ggeven is :) maar ik denk dat die wet daar nou niet voor is gemaakt. Voor dit forum is een http verbinding wel voldoende mits je voorzichtig met je wachtwoord bent.

Re: Is https veiliger dan http

Geplaatst: Ma 21 Aug 2017, 18:07
door Joan

Re: Is https veiliger dan http

Geplaatst: Di 22 Aug 2017, 17:10
door nahjo
verkeerde link? Die link gaat over webtrackers en bitcoins.