Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  3 1606
taw
omflakkende agitator
9 1
Noen grunn til at brukeres sikkerhet og privatliv neglisjeres ved å utelate den enkle og billige oppgaven det er å sette opp for bruk av https:// (kryptert tilkobling), og videresende alle http-forespørsler over https som standard ??
Hvis det er https noe annet sted rundt her (enn forumet, og evt. annet enn Cloudflare's.. (som forøvrig heller ikke er bra, bla.a stenger de ute mange potensielle brukere ved å komplisere bruk (spør om tasting av captcha ca 50% av forespørsler så må (f.eks -) oppdatere/F5 siden til det forsvinner (om en ikke er så 'lur' og tillater deres javascript- og andre scripts som kreves for fullføring av captcha, da!) (enkelte IPer som tydeligvis er svartelistet av CF (sikkert med god grunn tho))) av f.eks TOR for tilgang - men det er kanskje bra uansett, siden slik trafikk (som TOR -> vanlig internett (http:// (ukryptert, som her) er ekstremt utsatt for angrep, spesielt takket være deres (Freak.no's) manglende kryptering av trafikk.... ).

Gjør det ikke bedre at det ikke gir feilmelding om at https:// tilkobling ikke fungerer, alle store nettlesere bare videresender tilbake til http akkurat som om https fungerer (men, altså ingen https-sikker tilkobling).
Noen som velvitende bruker SSLStrip el.l. og overvåker i en eller flere ledd, kanskje? who knows! ikke dere, heller, dessverre .. -.-

Vet det (sannsynligvis) er og har vært mange sikkerhetshull i SSL som kan misbrukes slik at det ikke alltid kan stoles på 100%, at myndigheter sannsynligvis har sine veier rundt osv.. , men er generelt en veldig billig forsikring, noe alle halv-seriøse websider har som et minimum av beskyttelse av brukerdata (og de fleste med interesse for brukernes sikkerhet) , og noe som gjør at flere hadde kunnet føle seg tryggere ved å bla her, samt sende inn data (altså, f.eks. logge inn, poste innlegg, .. ).
Hvorfor ikke ta fatt på investeringen, som kan begynne på et par dollar per år, en av de store domene-leverandørene GoDaddy (!!)

Som det er nå er det tydeligvis godt mulig kriminelle ett eller flere steder mellom min data, isp's og freak.no's servere, - utenom div. myndigheter og deres håndlangere - som kan grave i personlig data som de vil (som passord, e-post, ip, etc. - regner med de fleste her bruker samme info flere steder (relativt (potensielt) stor sikkerhetsrisiko med stort nedslagsfelt, altså)).

For eksempel burde det være uaktuelt å besøke Freak.no fra et nettverk man selv ikke har kontroll på, mtp. hvor lett det er for hvermansen å hente ned ferdig program og basically bare "trykke start" og lese en fint strukturert liste ettersom passord kommer opp - passord som er 'sniffet' fra nettverkstrafikk som denne (ukryptert). Wifi-tilgang rundtom, dårlig idê og ikke noe deres brukere kan føle seg halv-trygge med, altså?

Selv ellers, regner alt jeg sender inn her (fra bruker,pass,e-post, innlegg osv...) for å være offentlig tilgjengelig og mest sannsynlig være kompromittert umiddelbart, av myndigheter samt kriminelle (og mange av dem og, sikkert!)

Så lett å sette opp, vel.. Cloudflare (hvor dere leier webhosting/caching) tilbyr visstnok t.o.m. gratis "one-click setup SSL cert" (noe sånt), og ellers sannsynligvis (? gjetter -) veldig billig for ekstrautstyrspakker, om dere absolutt må ha det derfra. Kom igjen a, kontakt hosten og få ordna SSL!

Eller noe jeg har gått glipp av her... mulig dette har blitt foreslått før eller noe, og regner med det har blitt tenkt på og vurdert som det er av en eller annen grunn.... ? Sorry om feilpostet elns og..


Hvis også denne posten blir slettet - igjen tilsynelatende uten grunn eller forklaring - så kommer jeg ihvertfall aldri tilbake. . . . bare lurer, her, ikke noe vondt ment..! gjerne sifra om jeg tar feil, hva jg evt. har gjort/sagt feil ihertfall, da, så jeg (forhåpentligvis) kan unngå å gjøre samme feil igjen. =]



hmm??


mistenkelig. :/ trist anyway.




Pfh. takk for svar uansett, da.

Mvh,
Queen of Blades
Jonta's Avatar
DonorCrew
Jeg vet slashdot har nevnt dette et par ganger, også mer utførlig enn i 2008, men finner fortsatt ikke postene.

Vi hadde SSL her en stund, men iirc ble det tekniske problemer, og nytteverdien ble trukket i tvil.
m0b
m0b's Avatar
DonorAdministrator
Sitat av taw Vis innlegg
Noen grunn til at brukeres sikkerhet og privatliv neglisjeres ved å utelate den enkle og billige oppgaven det er å sette opp for bruk av https:// (kryptert tilkobling), og videresende alle http-forespørsler over https som standard ??
Vis hele sitatet...
Vi har hatt det tidligere men det ble fjernet av blant annet tidligere overnevnte grunn, og at det på daværende tidspunkt var en relativt dyr affære rent syklusmessig. Det ble innført som en reaksjon på at DLD var under forslag, med det ønsket at det skulle begrense en tredjepart i å snappe opp eller endre på informasjon. Det var på et tidspunkt da man ikke hadde fått fra bekreftede hold i hvilket omfang den agressive overvåkningen deler av internett faktisk er.

Sitat av taw Vis innlegg
Hvis det er https noe annet sted rundt her (enn forumet, og evt. annet enn Cloudflare's.. (som forøvrig heller ikke er bra, bla.a stenger de ute mange potensielle brukere ved å komplisere bruk (spør om tasting av captcha ca 50% av forespørsler så må (f.eks -) oppdatere/F5 siden til det forsvinner (om en ikke er så 'lur' og tillater deres javascript- og andre scripts som kreves for fullføring av captcha, da!) (enkelte IPer som tydeligvis er svartelistet av CF (sikkert med god grunn tho))) av f.eks TOR for tilgang - men det er kanskje bra uansett, siden slik trafikk (som TOR -> vanlig internett (http:// (ukryptert, som her) er ekstremt utsatt for angrep, spesielt takket være deres (Freak.no'snglende kryptering av trafikk.... ).

Gjør det ikke bedre at det ikke gir feilmelding om at https:// tilkobling ikke fungerer, alle store nettlesere bare videresender tilbake til http akkurat som om https fungerer (men, altså ingen https-sikker tilkobling).
Vis hele sitatet...
Mener du at vi skal gjøre endringer i nettleserenes kode slik at de ikke skal automatisk gå til http dersom https feiler?

Sitat av taw Vis innlegg
Noen som velvitende bruker SSLStrip el.l. og overvåker i en eller flere ledd, kanskje? who knows! ikke dere, heller, dessverre .. -.-
Vis hele sitatet...
Ja.

Sitat av taw Vis innlegg
Vet det (sannsynligvis) er og har vært mange sikkerhetshull i SSL som kan misbrukes slik at det ikke alltid kan stoles på 100%, at myndigheter sannsynligvis har sine veier rundt osv.. , men er generelt en veldig billig forsikring, noe alle halv-seriøse websider har som et minimum av beskyttelse av brukerdata (og de fleste med interesse for brukernes sikkerhet) , og noe som gjør at flere hadde kunnet føle seg tryggere ved å bla her, samt sende inn data (altså, f.eks. logge inn, poste innlegg, .. ).
Hvorfor ikke ta fatt på investeringen, som kan begynne på et par dollar per år, en av de store domene-leverandørene GoDaddy (!!)
Vis hele sitatet...
Vel, nå er SSL en serverbasert tjeneste. Det jeg tolker er at du ønsker at vi går over til hosting under GoDaddy: Da har en i alle fall ikke kontroll over hvor informasjon går. Er vi uheldige sendes dette innom USA, med de konsekvensene dette har.

Sitat av taw Vis innlegg
Som det er nå er det tydeligvis godt mulig kriminelle ett eller flere steder mellom min data, isp's og freak.no'svere, - utenom div. myndigheter og deres håndlangere - som kan grave i personlig data som de vil (som passord, e-post, ip, etc. - regner med de fleste her bruker samme info flere steder (relativt (potensielt) stor sikkerhetsrisiko med stort nedslagsfelt, altså)).
Vis hele sitatet...
Har du sjekket at denne påstanden faktisk stemmer? Hashing kan utføres på flere nivå. Jeg kunne ikke finne noen umiddelbare sikkerhetsfeil overføringen av passordinformasjon mellom meg og server. Men nå sjekket jeg kun HTTP POST med eget blikk av PCAP og ikke med ymse inspeksjonsverktøy. Hvis du har noe konkret som du tenker på, er du velkommen til å påpeke dette.

Sitat av taw Vis innlegg
For eksempel burde det være uaktuelt å besøke Freak.no fra et nettverk man selv ikke har kontroll på, mtp. hvor lett det er for hvermansen å hente ned ferdig program og basically bare "trykke start" og lese en fint strukturert liste ettersom passord kommer opp - passord som er 'sniffet' fra nettverkstrafikk som denne (ukryptert). Wifi-tilgang rundtom, dårlig idê og ikke noe deres brukere kan føle seg halv-trygge med, altså?
Vis hele sitatet...
På hvilken metode tenker du at vi skal kunne bekrefte at en bruker har kontroll over nettverket som han bruker? Hva mener du egentlig med kontroll over et nettverk, er det hjemmenettet? Din ISP sitt nettverk? Hvis du skal ha kontroll over nettverket, og vi skal bekrefte dette, så vil trolig anonymiteten din forsvinne i forhold til administrasjonen, og mest sannsynligvis i forhold til myndigheter. Skal vi fortsatt gå for GoDaddy?

Sitat av taw Vis innlegg
Selv ellers, regner alt jeg sender inn her (fra bruker,pass,e-post, innlegg osv...) for å være offentlig tilgjengelig og mest sannsynlig være kompromittert umiddelbart, av myndigheter samt kriminelle (og mange av dem og, sikkert!)
Vis hele sitatet...
Det er et veldig greit utgangspunkt å ta. Fortsett slik! La oss bygge videre på det:

Sitat av taw Vis innlegg
Så lett å sette opp, vel.. Cloudflare (hvor dere leier webhosting/caching) tilbyr visstnok t.o.m. gratis "one-click setup SSL cert" (noe sånt), og ellers sannsynligvis (? gjetter -) veldig billig for ekstrautstyrspakker, om dere absolutt må ha det derfra. Kom igjen a, kontakt hosten og få ordna SSL!

Eller noe jeg har gått glipp av her... mulig dette har blitt foreslått før eller noe, og regner med det har blitt tenkt på og vurdert som det er av en eller annen grunn.... ? Sorry om feilpostet elns og..
Vis hele sitatet...
Jeg er enig i at vi skulle gjerne hatt SSL som en feature. Men det du må ta standpunkt til er hvem du vil sikre seg mot, og hvilken type informasjon du ikke vil gi ut. Hvis det er informasjon som du ikke vil at skal vites om deg, så bør dette ikke digitaliseres og om det skjer så skal det ikke tilkobles eller publiseres til noen nett.

Sitat av taw Vis innlegg
mistenkelig. :/ trist anyway.
Vis hele sitatet...
Så veldig mistenkelig tror jeg egentlig ikke det er, i alle fall ikke i en konspiratorisk retning, håper jeg?
Det er ikke mulig å nedgradere en TLS-tilkobling uten at klienten først kan koble seg til. Jeg ser for meg at om man hadde satt opp TLS-tilkobling så hadde man brukt det, ikke bare nedgradert tilkoblingen. Av helt åpebare grunner.

Hvis det var en konspirasjon så ville det vel vært enklere å bare få all dataen, enn å sniffe den på Internett.