Is https veiliger dan http

Kom binnen en praat hier gezellig met mede Mint-gebruikers over alles en nog wat
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Is https veiliger dan http

Berichtdoor Joan » Do 13 Jul 2017, 20:24

Dit is een reactie op viewtopic.php?f=7&t=3371#p17909

Http is altijd al zo geweest, dus niets bijzonders. Systeem en programmaontwikkelaars willen niet graag oude programma's onderhouden als er grote nieuwe ontwikkelingen zijn en zeker niet als met een nieuwe systeem geld te verdienen is.
De IPS (Internet Provider) en browser ontwikkelaars zitten nu met twee systemen waar ze vanaf willen. Net als Windows, Apple en ook Linux Mint die na het ontwikkelen van nieuwe systemen de oude uitfaseren.

Willen we veilig internet?
Ja !! Het bedrijfsleven heeft behoeft aan meer gesloten internetverkeer via browsers en daardoor is https ontwikkeld. Daarna werden en worden veel berichten over onveilig internet verspreid om https onder de aandacht te brengen.
Nee !! Nu zijn overheden bezig om gecodeerd internet (https) te verbieden en ontwikkelen wetten om openheid af te dwingen.

Waarvoor was een browser bedoeld?
Een browsers is nooit bedoeld om gegevens te verzenden maar om informatie te verspreiden maar wordt nu anders gebruikt.
Goole, Facebook, Twitter enz. hebben er een verdienmodel van gemaakt en ook browsers verdienen nu geld aan alles wat via een browser worden verstuurd.

Is https echt veilig?
Als https zo veilig is, hoe kan het dan dat Goole, Facebook, Twitter enz. alles weten wat er via een browser wordt verstuurd. Dat zou dan ook niet mogen kunnen. Zolang dat kan is https niets waard voor de gewone gebruikers zoals jij en ik, en niets waard voor een krant en niets waard voor een forum en niets waard voor een blog, want die willen alleen informatie uitwisselen.

Is https gratis?
Maar wel betalen voor een https certificaat, weer inkomsten voor een IP of certificaat instantie. Denk je dat een krant een https certificaat gaat betalen zodat wij gratis de krant kunnen lezen? En zeg niet dat er nu ook gratis certificaten zijn, want die zijn niet voor bedrijven en hebben maar een beperkte mogelijkheid en waarschijnlijk ook later niet meer gratis als er genoeg gebruikers bang zijn gemaakt voor dat onveilige http.

Een oud alternatief om veilig gegevens te verzenden.
Daarentegen is e-mail wel geschikt om gegevens te verzenden, net als een postbrief zit dat in een gesloten envelop. Via e-mail heb je een afgesloten systeem waarin je veiliger gegevens kunt verzenden.

Maar mensen zijn mensen en willen alles makkelijk, Facebook, Watsapp, enz. en hebben geen zin om even een e-mail te schrijven, zooooooooo lastig!!!

En denk eens over wat Pjotr schrijft "Alles is te kraken. Niets is veilig, dus zorg voor zoveel mogelijk niets"
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Leon
Senior
Senior
Berichten: 209
Lid geworden op: Vr 21 Nov 2014, 09:12

Re: Is https veiliger dan http

Berichtdoor Leon » Do 13 Jul 2017, 21:06

Sorry Joan, maar je raaskalt
LMDE 2 MATE x64
Gebruikersavatar
Arie
LMNLVip
LMNLVip
Berichten: 1743
Lid geworden op: Zo 13 Dec 2009, 17:16
Contact:

Re: Is https veiliger dan http

Berichtdoor Arie » Do 13 Jul 2017, 21:38

Sorry Joan, ik heb me lang afzijdig gehouden van dit forum maar nu kan ik me effe niet inhouden, het valt me op dat je steeds meer en vaker onzin verkondigd.
De leden van Linux Mint NL (de 1e en enige officiële Linux Mint NL Community) verdienen beter. je banned mensen die meer verstand hebben van Linux dan jij ooit zal krijgen. Ik zal de eerste zijn om te zeggen dat een Nomko vaak lomp is / was maar zijn kennis van Linux is iets waar jij alleen maar van kan dromen.Het geeft ook te denken dat in de tijd dat Bas en ik admin waren op dit forum we totaal geen problemen hadden met Nomko. Mss moet jij eens gaan nadenken over hoe dit forum tegenwoordig gerunt wordt.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Vr 14 Jul 2017, 00:13

Ik heb geen verstand van Linux Mint. Ik heb wel mijn persoonlijke ervaring daarmee en lees over de ervaringen van anderen.
Ik wil graag in discussie over mijn benadering van onderwerpen, maar dan wel per PB omdat het persoonlijk kan worden en dat hoort niet in het openbaar.

Even wat leesvoer om duidelijk te maken hoe ik aan informatie kom. Een greep uit de laatste berichten.
http://webwereld.nl/security/98982-besc ... en-sleutel
http://webwereld.nl/security/99552-spli ... windows-xp
http://webwereld.nl/security/99867-verz ... -inpluggen
http://webwereld.nl/security/99801-dief ... r-helpdesk
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Vr 14 Jul 2017, 01:19

Nog maar iets.
Waarom Google websites met HTTPS beloont met een hogere ranking in de zoekresultaten?
Om SEO, de zoekmachine. Niet om de veiligheid.
https://www.friks.frl/blog/http-versus-https/
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Vr 14 Jul 2017, 04:33

En dan lees ik vandaag in de krant
"e-mail is zo'n gedoe" http://www.telegraaf.nl/binnenland/2859 ... suf__.html
Wie raaskalt?
En deze over veilig internet http://www.telegraaf.nl/buitenland/2860 ... iet__.html.
Wie raaskalt?
Netflix: 'We weten wat je keek, wanneer, hoelang'. Ook met https. Heb ik niet verzonnen. http://www.telegraaf.nl/digitaal/285257 ... ng___.html.
Wie raaskalt?
Foute app abonneert stiekem op sms-dienst. http://www.telegraaf.nl/dft/geld/consum ... nst__.html
Agent zet zwaar in op sociale media. http://www.telegraaf.nl/binnenland/2862 ... dia__.html
Wie raaskalt?

En nog meer van die onzinberichten, elke dag weer. Hoezo is https veiliger, voor wie? En ja, http Telegraaf, maar ook AD en HD enz.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Wilfried1954
Algemene moderator
Algemene moderator
Berichten: 818
Lid geworden op: Ma 08 Dec 2014, 11:26
Contact:

Re: Is https veiliger dan http

Berichtdoor Wilfried1954 » Vr 14 Jul 2017, 19:59

HTTPS is alleen interessant om "veilige" informatie te krijgen of te verzenden, zoals bankgegevens en andere vertrouwelijke informatie. Verder vraagt het alleen maar een veel grotere payload.
Linux Mint 17.1 en 18.1 Mate 64 bit
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Za 15 Jul 2017, 03:09

Ik ken ook geen enkele site die alleen informatie verspreid en https gebruikt.
Facebook enz. gebruiken https omdat prive berichten kunnen worden verstuurd.
De Linux Mint sites gebruiken http, precies zoals kranten, computerworld, webwereld, enz. omdat er geen prive berichten kunnen worden verspreid.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Leon
Senior
Senior
Berichten: 209
Lid geworden op: Vr 21 Nov 2014, 09:12

Re: Is https veiliger dan http

Berichtdoor Leon » Za 15 Jul 2017, 08:00

Joan schreef:De Linux Mint sites gebruiken http

Dat geld voor Linux Mint nederland
https://linuxmint.com/
https://forums.linuxmint.com
Op het nl forum worden je inloggevens gewoon onversleuteld verstuurd, best wel een kwalijke zaak, zeker gezien er zo achteloos mee omgesprongen wordt.
LMDE 2 MATE x64
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Za 15 Jul 2017, 20:45

Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Gebruikersavatar
Leon
Senior
Senior
Berichten: 209
Lid geworden op: Vr 21 Nov 2014, 09:12

Re: Is https veiliger dan http

Berichtdoor Leon » Za 15 Jul 2017, 21:48

Ja, en?
Volgens mij snap je het nog steeds niet
LMDE 2 MATE x64
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Za 15 Jul 2017, 21:59

Ik snap niet hoe jij inloggegevens van een site kan lezen. Ik krijg het op een normale manier niet voor elkaar. Kun je dat uitleggen?
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Wilfried1954
Algemene moderator
Algemene moderator
Berichten: 818
Lid geworden op: Ma 08 Dec 2014, 11:26
Contact:

Re: Is https veiliger dan http

Berichtdoor Wilfried1954 » Zo 16 Jul 2017, 18:00

Joan schreef:Ik snap niet hoe jij inloggegevens van een site kan lezen. Ik krijg het op een normale manier niet voor elkaar. Kun je dat uitleggen?

Ik begrijp de bedoeling van de discussie niet goed, maar hier kan ik wel op antwoorden. Als ik inloggegevens wil weten van een persoon op een bepaalde site heb ik enkele mogelijkheden:

Ofwel als 'man in between' dus een mail versturen zodat die persoon gaat inloggen op een valse site, mijn valse site dus, en dan kan ik uiteraard alles te weten komen als die persoon niet doorheeft dat hij op een verkeerde site zit (dat kan dan gewoon ook HTTPS zijn). Dus met scam mailtjes - vrij veel voorkomend en de persoon moet er dan nog intrappen. Een tweede mogelijkheid van 'man in between' is met een proxy server. Dan moet de persoon (op dezelfde manier) via mijn proxy verbinden. mijn proxy stuurt de data heen en weer naar de "echte" site. Zo kan ik ook alles loggen, zelfs in HTTPS.

Ofwel door te gaan aftappen. Dat kan als ik het IP adres weet van die persoon en ga aftappen op de kabel (als hij met kabel werkt). Als hij met PSDN werkt is dat natuurlijk moeilijker. Een andere mogelijkheid is te gaan werken bij zijn ISP. Dan kan het al iets 'gemakkelijker' - doch alleen bij HTTP, met HTTPS wordt het moeilijker, tenzij het protocol HTTPS versie 1.xx is, want dat is al lang gekraakt. De kans dat dit gebeurt is natuurlijk afhankelijk van de belangrijkheid van de persoon in kwestie - want dat is uiteraard geen kwestie van "even aftappen". Vroeger met de oude telefoonlijnen ging dat wat gemakkelijker, dan kon je in een kastje op de straat met krokodileklemmen iemand zijn telefoonlijk gewoon aftappen (als je niet ontdekt werd).

Ofwel binnendringen op de private LAN van die persoon en spyware installeren, of een bot. Tja er zijn wel wat mogelijkheden. Spyware of bot lijken mij moeilijk in Linux - gemakkellijk in Windows.

Ik heb hier niet veel schrik van. Ik ben tenslotte geen president of een andere belangrijke persoon. Als er iemand mij zo belangrijk vind om mijn login op een site te weten komt zal ik mij vereerd voelen ;-)
Linux Mint 17.1 en 18.1 Mate 64 bit
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 1626
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Is https veiliger dan http

Berichtdoor Joan » Zo 16 Jul 2017, 18:58

De discussie is ontstaan door de mening dat inloggegevens via http ongecodeerd worden verzonden.

Ook uit het bericht van Wilfried begrijp ik dat inloggegevens op een legitieme site altijd gecodeerd zijn en niet leesbaar zonder speciale acties.
Mint 18.2 Cinnamon 64bit , werk. Mint 17.3 Cinnamon 64bit , archief.
LMDE op laptop en RasberyPy met Debian, soms.
Wilfried1954
Algemene moderator
Algemene moderator
Berichten: 818
Lid geworden op: Ma 08 Dec 2014, 11:26
Contact:

Re: Is https veiliger dan http

Berichtdoor Wilfried1954 » Do 20 Jul 2017, 10:34

in de standaard HTTP authorisation is een login gecodeerd in Base64. Base64 is wel eenvoudig terug te decoderen naar gewone tekst. Bijvoorbeeld de string: username:password ziet er zo uit: Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Bij HTTP wanneer geen standaard authorization gebruikt wordt (zoals op deze site) is het de autheur van de site die de beveiliging bepaald.

Na het inloggen wordt er een cookie gestuurd naar je browser. Deze cookie is slechts een zeer beperkte tijd geldig en die word meegestuurd telkens bij een GET. Met dat cookie is iemand anders niets, zelfs al onderschep je het.

Als ik jouw internetverbinding zou kunnen gaan aftappen (wat op zich al niet simpel is) en ik log je internet traffic op het ogenblik van je inlog (en alleen op dat ogenblik) dan zou ik je usernaam en paswoord kunnen decoderen.
Linux Mint 17.1 en 18.1 Mate 64 bit

Terug naar “Het Mint café”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten