Sitat av
Dyret
Dette er et åpent forum, hvor alle kan lese så godt som alt som skjer på forumet. Det eneste noen kan oppnå ved å sniffe en sesjon mot freakforum er å se hva du leser, hvilket brukernavn du benytter, og de kan ødelegge "ryktet" ditt med spamming. Det er også mulig å overvåke hva du poster, men dette er egentlig ikke så interessant. Hvis du poster noe som er interessant nok, f.eks. for politiet, så vil de nok bare ta kontakt med administrator og få utlevert alt de trenger. Passordene blir også hashet før de sendes (riktignok med MD5).
Hvorvidt du synes masseovervåking og innsamling av "bare metadata" for å bygge profiler er problematisk eller ikke er en stor diskusjon vi ikke skal ta her.
Jeg synes iallefall det hadde vært skummelt om noen hadde opprettet en database med alle detaljene fra livet mitt - inkludert masse ting jeg ikke frivillig "har delt", men kun har blitt snappet opp fra usikra forbindelser over internett.
I tillegg kommer jo all problematikken med injeksering og endring av siden, som bla kan brukes til
deanonymisering av VPN-brukere gjennom WebRTC f.eks, spesifikk sensur og forsøk på spreding av malware.
De aller fleste sikkerhetseksperter er enige om at HTTP er utrygt generelt, og uansvarlig på sider med innlogging. Der er det egentlig ingen uenighet, iallefall ikke som jeg har sett. Gi meg gjerne en link, kunne vært interessant å lese om.
Sitat av
Dyret
Til syvende og sist er det ikke veldig stort skadeomfang ved å utsette oppgraderingen litt til.
Og om du fortsatt tror at det bare er å trykke på en knapp og så blir alt SSL så tar du sørgelig feil. Det ble forsøkt for noen år siden, og til slutt reversert etter at en milliard forskjellige funksjoner sluttet å virke. Eksempelvis caching, galleriet, linker til forumet, interne lenker innad i forumet og nesten alle hjemmesnekrede funksjoner. Det tok heller ikke mange tastetrykkene før man var tilbake til den ikke-krypterte versjonen.
Så man må veie SSL mot et funksjonelt forum, og derfor tror jeg ikke dette er noe som blir rushet. Hvis du synes dette er helt forferdelig, så får du ta forholdsregler som alle andre. Ikke post identifiserende informasjon, ikke post om ulovlige handlinger du er involvert i, og bruk VPN for å nå internettet. Jeg ønsker også at sidene jeg besøker skal ta i bruk kryptering, men jeg har forståelse for at det ikke alltid er så enkelt å utføre.
Problemet er ikke at de ikke innfører SSL i morgen, problemet er at de tilsynelatende ikke synes det er viktig å innføre.
Det er en massiv forskjell på
1. "SSL er vanskelig å innføre så vi ber om forståelse for at det tar litt tid ettersom det krever mye arbeid" og
2. "SSL er vanskelig å innføre, så vi ga opp. Kanskje vi gjør et nytt forsøk en gang i framtiden".
Jeg synes det er dypt problematisk at de har valgt å gå for statement 2.
Sist endret av kris33; 18. april 2016 kl. 01:20.