https? Bare en liten tanke

[Lakorv]

Nå har det seg sånn da, at jeg er en tilhenger av beskyttelse også når det ikke nødvendigvis er så kritisk informasjon som behandles. Så jeg lurte bare på, er det noen enkel mulighet for å skru på https for forumet? Det er ikke noe kritiskt akkurat, men det kunne vært fint om det hadde blitt gjort, særlig med alt oppstyret rundt side-jacking av ukrypterte sesjoner (se Firesheep). Særlig relevant for dem som befinner seg på større (gjerne åpne) netverk når de surfer, som f.eks. skole-nettet jeg bruker til daglig.

Grunnen til at jeg merka at det ikke er https på forumet her, er at jeg har en addon som tvinger bruk av https viss den oppdager at sørveren tilbyr det - og likevel benytter jeg http, noe som betyr at den ikke fant noe https-alternativ. Som sagt, ikke noe stort problem, men dersom det ikke ville bydd på større problemer, hadde det vært fint med litt sikkerhet rundt oppkoblinga

[Dax Cyro]

Så lenge du ikke bruker samme brukernavn/passord kombinasjon andre steder er det ikke noe spesielt behov for https på dette forumet.
Hvis du bruker brukernavnet og passordet andre og mer kritiske steder (bank, offentlige sider, jobb), bytt passord på disse eller her.
Gjenbruk av brukernavn/passord er et stort fyfy

Https er greit hvis tilgang kan føre til tap av større verdier eller sensitive personopplysninger.
For alt annet er det nok å ha minst 2 forskjellige passord. Et for sikre sider (bank, offentlig, jobb, etc.) og et mindre sikkert passord (for alt annet).
Ideelt skal man ha et unikt brukernavn/passord per innloggingsrutine, men selv sikkerhetseksperter jukser her.

Selv kjører jeg den hardeste metoden.
Jeg har et passord arkiv beskyttet av et superpassord. I arkivet har jeg alle passordene jeg bruker for forskjellige sider.
På denne måte kan jeg ha forskjellige passord, men samtidig kun trenger å huske et.

[Chen]

Så lenge du ikke bruker samme brukernavn/passord kombinasjon andre steder er det ikke noe spesielt behov for https på dette forumet.
Hvis du bruker brukernavnet og passordet andre og mer kritiske steder (bank, offentlige sider, jobb), bytt passord på disse eller her.
Gjenbruk av brukernavn/passord er et stort fyfy

Https er greit hvis tilgang kan føre til tap av større verdier eller sensitive personopplysninger.
For alt annet er det nok å ha minst 2 forskjellige passord. Et for sikre sider (bank, offentlig, jobb, etc.) og et mindre sikkert passord (for alt annet).
Ideelt skal man ha et unikt brukernavn/passord per innloggingsrutine, men selv sikkerhetseksperter jukser her.

Selv kjører jeg den hardeste metoden.
Jeg har et passord arkiv beskyttet av et superpassord. I arkivet har jeg alle passordene jeg bruker for forskjellige sider.
På denne måte kan jeg ha forskjellige passord, men samtidig kun trenger å huske et.

Egentlig ikke. Ved bruk av HTTPS vil man unngå ting som han nevner med firesheep. Uansett om en annen bare får tak i denne ene sesjonen; så slipper man jo eventuellt å måtte rydde opp i spam eller inlegg som andre skriver i ens navn.

HTTPS er for å sikre kommunikasjonen. Det er ikke derfor bestemt at en ting ikke trenger, eller en anna ting trenger å ha det.
Security in depth, der det går an å stramme in bør man gjøre det. Å argumentere for at "jeg trenger ikke fordi jeg stoler på at master-passordet mitt holder meg sikkert" ekskluderer ikke at man kan sette på HTTPS dersom det er mulig.

Jeg anså det som en forespørsel til adminene om muligheten var der, men siden man skal sitte å si "jeg synes ikke man skal bruke dette fordi jeg ikke har problem å få kontoen min kompromittert" så stiller jeg meg heller bak kraksen; Er det muligheter for enkelt å få på HTTPS så synes jeg det burde vært tilbudt.

For øvrig synes jeg at Kartago bør ødelegges.

[Tirga]

At man bruker et trådløst nettverk uten en proxy eller enn "tunnel" eller no, på et trådløst netverk.
Er den største forbrytelsen, mener nå jeg...

[Chen]

At man bruker et trådløst nettverk uten en proxy eller enn "tunnel" eller no, på et trådløst netverk.
Er den største forbrytelsen, mener nå jeg...

Mann i midten angrep kan nå foregå på trådete nettverk, selv om det innebærer litt større problemer.
Men point taken; på ett trådløst nettverk er man jo overgitt til elementene.. hva enn de skulle være.

Men taler det egentlig imot spørsmået om det er en enkel sak å åpne for HTTPS tilgang?

[Lakorv]

Ja, jeg er enig i at passordgjenbruk er fyfy og så videre. Men side-jacking gir tilgang uten passord, og da er du/jeg/offer like langt. Ja, jeg burde bruke 'nettkondom', men skolenettet jeg bruker er mildt sagt ustabilt, og det gjør det vanskelig å opprettholde kontakten til vpn'en. Jeg mister rett som det er nettet en gang hvert femte minutt eller noe sånnt.

Takker for at Chen ser ut til å forstå hva jeg mener. Har adminene noe å si om hvorvidt det er mulig å implementere det eller om det er en for tungvint operasjon? Var jo det som var det egentlige spørsmålet.

[TwoSocks]

NorPaws er vel hostet hos en komersiell aktør, så HTTPS vil antakelig være en ekstra utgift. Selv ser jeg ikke vitsen på en side som dette.

[Chen]

NorPaws er vel hostet hos en komersiell aktør, så HTTPS vil antakelig være en ekstra utgift. Selv ser jeg ikke vitsen på en side som dette.

Det er en av de tingene spørsmålet dreier seg om, er det ikke?

[TwoSocks]

NorPaws er vel hostet hos en komersiell aktør, så HTTPS vil antakelig være en ekstra utgift. Selv ser jeg ikke vitsen på en side som dette.

Det er en av de tingene spørsmålet dreier seg om, er det ikke?

Står ikke noe om det i spørsmålet nei. La det bare til som en tanke. Du trenger ikke bli fientlig =P

[Chen]

NorPaws er vel hostet hos en komersiell aktør, så HTTPS vil antakelig være en ekstra utgift. Selv ser jeg ikke vitsen på en side som dette.

Det er en av de tingene spørsmålet dreier seg om, er det ikke?

Står ikke noe om det i spørsmålet nei. La det bare til som en tanke. Du trenger ikke bli fientlig =P

Er ikke fiendtlig, bare litt uvøren med ord.. Mente iaffal ikke å være det. Men om det er en ekstra utgift så faller det ikke - iaffal for meg - under noe som ikke byr på større problemer. Ett forum som er pay-per-view ville nok vært "litt" mindre aktivt enn det vi er. ^.^

[TwoSocks]

...
Er ikke fiendtlig, bare litt uvøren med ord.. Mente iaffal ikke å være det. Men om det er en ekstra utgift så faller det ikke - iaffal for meg - under noe som ikke byr på større problemer. Ett forum som er pay-per-view ville nok vært "litt" mindre aktivt enn det vi er. ^.^

Ok. Da beklager jeg at jeg tolket det slik =) Tar NorPaws imot donasjoner for serverutgifter?

[Aikho]

For forum-motoren går jeg ut ifra at det er lett å fikse egentlig, om serveren liker det er noe annet, det er jo Kal som står for akkurat den delen også da, så dere får bare vente å se, så kommer det sikkert et mer hjelpsomt svar.

Angående donasjoner, har ikke hørt noe om noe slikt.

[Chen]

Ok. Da beklager jeg at jeg tolket det slik =)

Hakuna matata, jeg har en tendens til å glemme at konteksten i hodet mitt ikke alltid blir med på turen ut

[Jesper Cheetah]

Jeg stemmer for HTTPS support. Hvis hosting-udbyderen understøtter det så burde det ikke være noget problem at få. Sertifikatet trenger jo ikke at koste penge. Jeg har brugt CAcert.org i mange år nu, og det er ganske gratis.

Hvorfor HTTPS? Kald mig paranoid, men jeg foretrækker at ingen kan sniffe hvad jeg gør på nettet, om det så er min arbejdsgiver, ISP, eller en omstrejfende "hacker". Jeg har VPN som kan sikre mig på det lokale net, men alt fra VPN-serveren og videre ud mod internettet har jeg ingen kontrol over. Mit princip er: Kan det sikres, så bør det sikres.

[RefleXio]

Startcom (http://cert.startcom.org/) tilbyr gratis SSL sertifikater til privatpersoner og foretak. Godt alternativ til kjempedyre SSL sertifikater fra andre leverandører. Startcom har historie fra linuxmiljøet, og har derfor begynt å tilby disse sertifikatene gratis.

Admins: Sjekk det ut, og se om dere finner det for godt å bruke litt tid på å implementere SSL.

[Kal]

Right. Har sjekka litt.

Å få opp et sertifikat skulle være en ganske rett-fram jobb, men krever at vi går over til en unik-ip-plan, noe som koster $43 i året.

Lager en poll på greia, så får vi se om det er noen interesse.
De mest ivrige kan jo alltids tunnelere HTTP trafikken sin via SSH til et trygt sted inntil videre.

[Lakorv]

Hva med «Hadde brukt det hele tida hvis det fantes»? Jaja, får vel velge det som stemmer best, da.

[Wolftale]

Hm, å hvem betaler?

[Dax Cyro]

Skal vi se: $43 er litt under 250kr for et år.

Kal: Hvis vi går over til unik-ip-plan er dette permanent eller kan vi i etterkant gå tilbake til den gamle hvis vi er misfornøyde?

[Trash]

Jeg har ikke noe serlig behov for dette på NorPaws, men hvis dette er en stor deal for andre så er det jo en god "investering".

[Tellos]

Hadde vært greit om de som maser mest iallefall "tilbyr" seg å donere for å få dette dekt. Såvidt jeg vet er det vel enten Kal eller Miles som betaler for domenet allerede.

[TwoSocks]

Skal vi se: $43 er litt under 250kr for et år.

Kal: Hvis vi går over til unik-ip-plan er dette permanent eller kan vi i etterkant gå tilbake til den gamle hvis vi er misfornøyde?

En unik IP + SSL-sertifikat vil jo ikke påvirke noe av driften til nettsiden egentlig. Så hva er det å bli misfornøyd med, annet enn ekstra utgifter?

Hadde vært greit om de som maser mest iallefall "tilbyr" seg å donere for å få dette dekt. Såvidt jeg vet er det vel enten Kal eller Miles som betaler for domenet allerede.

Skulle til å foreslå det =P

[Kal]

Nå er vi sikra

Dette koster en ekstra $43.13 i året, så om noen føler for å bidra til neste års regning så kan de klikke på linken under (pengene går rett til balansen min på dreamhost og kan kun brukes til å betale for hosting)

[Dax Cyro]

Ut av ren nysgjerrighet, hvor mye ligger årsregningen på?

PS. Oversendt lite grann for å dekke deler. Muligens jeg sender litt mer senere hvis jeg blir minnet på.

Tillegg:
https funger greit fra min side. Skal se om jeg fortsetter å bruke den. Greit at jeg slipper å sende passord i klartekst.

[Felix]

*bidratt littigranne*