Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  39 13374
Uten HTTPS aktivert kan alle på samme nettverk/Wifi kjempelett stjele innloggingsinformasjonen din (enten ved å bare kopiere cookies eller MITM innloggingssiden), endre/sensure innholdet på deler av siden, bedrive målrettet overvåking (ved å se hvilke tråder du besøker kan man lære mye, bedrive masseovervåking +++

Med ukryptert og usikker forbindelse får internettleverandørene/PST/IT-ansvarlig se at du besøker f.eks http://freak.no/forum/showthread.php?t=287992, med HTTPS bare at du besøker freak.no. Selv det burde være nok til at HTTPS ble et fokus.

Å gi faen i brukernes sikkerhet er ikke greit!

Let's Encrypt har gjort HTTPS enkelt og gratis å implementere - å ha et stort subkulturforum uten HTTPS aktivert er like uansvarlig som å lage en masseprodusert bil uten sikkerhetsbelter eller airbags.

Lurer på hvor lenge det går før denne tråden slettes, slik alle andre ganger folk spør om hvorfor Freak.no ikke gjør noe for å hindre overvåking og hacking.
Du har noen poenger, men du overdramatiserer også ganske kraftig. Det samme gjelder enkelte andre som har tatt opp dette tidligere. Lite info og mye hyling. Det er årsaken til at innleggene deres har blitt slettet, ikke fordi vi er imot å diskutere saken generelt.

I det store og det hele er jeg enig med deg. Det er ingen grunn til at vi ikke skal kjøre tls.
Trådstarter
Merkelig at også denne ble slettet raskt og deretter gjenopprettet etter at jeg endret signaturen min til
"PS. Alle gangene jeg nevner at Freak.no legger opp til masseovervåking og hacking ved å ikke aktivere HTTPS blir postene/trådene slettet raskt.".

Jaja, hvorfor de er så vilt sensitive når man nevner HTTPS skal jeg ikke spekulere om.

Jeg er uenig at karakteristikken min er en overdrivelse, men jaja - det kan vi være uenig om. Om noe bør "hyles om" er det sikkerhetsproblematikk, der funker det ikke å være "lax".

Om admins trenger hjelp med å aktivere HTTPS, noe som forøvrig er latterlig lett på Cloudflare som Freak.no bruker, kan jeg bistå.
Sist endret av kris33; 11. april 2016 kl. 19:20.
nso
popålol
nso's Avatar
Administrator
Som mentalmelt sier. Du har et poeng, men du fremlegger det på en dårlig måte. HTTPS everywhere er en målsettning på samme måte som IPv6 everywhere.

Det er dog reelle problemstillinger med implementasjon når man skal putte det inn i eksisterende løsninger, og spes når det gjelder legacy-produkter som nFF (som er en knapt levende sammen-hacket kodebase som er eldre enn mange brukere) så er det lettere sagt enn gjort. Jeg ser du har erfaring med cloudflare, men jeg kan fortelle deg at det er mer som skal til enn bare å trykke på en knapp der. Problemet er ikke nginx, apache, cloudflare eller haproxy. Vi har forsøkt før og har endt opp med å måtte reverte hele sulamitten. Det er sikkert noe vi kan se på igjen men det er ikke noe som brenner.
Sist endret av nso; 11. april 2016 kl. 19:22.
Signaturen din har ingenting med saken å gjøre. Tråden din ble slettet fordi den er dårlig skrevet, og gjenopprettet fordi vi ikke ønsker å gi inntrykk av at vi sensurerer selve temaet.
nso
popålol
nso's Avatar
Administrator
Jeg glemte å legge ved at jeg syntes du blåser problemstillingen opp noe så græslig. I den grad det er et problem så er det ikke noe mer problem på nFF enn på vg.no, db.no, nrk.no eller tusen andre nettsider. Du får sende dem et forslag om one-click install av HTTPS hos cloudflare.

De brukerne som er ekstra opptatt av dette bruker allerede sluttbrukerløsninger som VPN.

Men som tidligere nevnt, det er en målsetning å ha HTTPS, men det får bli når vi finner tid til det.
Sist endret av nso; 11. april 2016 kl. 19:28.
Trådstarter
Sitat av nso Vis innlegg
Som mentalmelt sier. Du har et poeng, men du fremlegger det på en dårlig måte. HTTPS everywhere er en målsettning på samme måte som IPv6 everywhere.

Det er dog reelle problemstillinger med implementasjon når man skal putte det inn i eksisterende løsninger, og spes når det gjelder legacy-produkter som nFF (som er en knapt levende sammen-hacket kodebase som er eldre enn mange brukere) så er det lettere sagt enn gjort. Jeg ser du har erfaring med cloudflare, men jeg kan fortelle deg at det er mer som skal til enn bare å trykke på en knapp der. Problemet er ikke nginx, apache, cloudflare eller haproxy. Vi har forsøkt før og har endt opp med å måtte reverte hele sulamitten. Det er sikkert noe vi kan se på igjen men det er ikke noe som brenner.
Vis hele sitatet...
Takk for et skikkelig svar. Forsøkte dere "Flexible SSL"? Den gjør implementeringen ganske mye enklere.

Sitat av nso Vis innlegg
Jeg glemte å legge ved at jeg syntes du blåser problemstillingen opp noe så græslig. I den grad det er et problem så er det ikke noe mer problem på nFF enn på vg.no, db.no, nrk.no eller tusen andre nettsider. Du får sende dem et forslag om one-click install av HTTPS hos cloudflare.
Vis hele sitatet...
Jeg er skikkelig uenig i at HTTPS på et subkulturforum som freak.no er en "nice to have"-ting ala det IPv6 er i dag.

HTTPS er et must for alle sider hvor innloggingsinformasjon sendes inn. Å sende passord ukryptert er en meget meget dårlig ide. Ingen av de andre sidene du nevner har ukrypterte innloggingssider (og om de hadde hatt det ville det vært veldig problematisk).

I tillegg gjør det meg ikke så mye om PST/NSA/andre som overvåker internettet mitt vet hva jeg leser på vg.no. Hvilke tråder jeg leser på Freak.no sier derimot svært mye om meg som person.
Sist endret av kris33; 11. april 2016 kl. 19:32.
med fruktkjøtt.
Tias's Avatar
Crew
Sitat av kris33 Vis innlegg
Merkelig at også denne ble slettet raskt og deretter gjenopprettet etter at jeg endret signaturen min til
"PS. Alle gangene jeg nevner at Freak.no legger opp til masseovervåking og hacking ved å ikke aktivere HTTPS blir postene/trådene slettet raskt.".
Vis hele sitatet...
Jeg syns det er veldig bra at du tar opp et viktig tema som dette, men generelt vil jeg bare påpeke at det å endre brukersignatur eller sutre i andre tråder ikke er en god måte å fremme et budskap på. Send heller en PM til crew, så kan vi finne ut av om det har blitt begått en feil eller ei.
<?php getUserTitle(); ?>
MrMrtn's Avatar
Sitat av nso Vis innlegg
I den grad det er et problem så er det ikke noe mer problem på nFF enn på vg.no, db.no, nrk.no eller tusen andre nettsider. Du får sende dem et forslag om one-click install av HTTPS hos buttflare.
Vis hele sitatet...
Nå skal det jo nevnes at VG, Dagbladet og NRK alle har autentiseringsløsninger som går over https. Ikke at dette er bra nok, men de ligger et hestehode foran Freak på akkurat det punktet.
Veldig bra at temaet kommer opp også får heller modsa forsøke å styre tråden i en retning som fremmer saken slik at en ikke fokuserer på hvordan ts skrev første innlegg men hva som var temaet til ts.

For mange brukere her så sitter de nok ofte bak vpn, og det er jo bra det. Men det løser jo ikke grunn problemet. Manglende HTTPS innlogging. Er enig med ts i at det bør være et fokus på dette, og mer så enn IPv6. Med legacy kode, sikkert mange moduler som er har blitt kodet og rekodet mange ganger så skjønner jeg at en ikke bare knipser også er HTTPS kjørende. Men som ellers i livet når en ønsker noe, sett mål, vær konkret og forsøk og jobbe dere inn mot en skikkelig løsning. Løse planer eller tanker om at ting ville vært kjekt fører sjeldent til måloppnåelse.
Ser ikke helt problemet. Om noen får tak i passord og brukernavnet mitt, et det verste de kan gjøre er å få meg bannet. No big deal. Ikke at jeg sier det ikke er positivt med https, men du hyler av deg støvlene her.

Å sammenligne med vg, nrk osv blir vel litt feil. Freak er vel drevet i sin helhet på dugnad og eventuelle inntekter går vel til drifting av siden. Kan godt forstå at dette ikke står øverst på lista om det er tidskrevende.

(Påstandene om inntekter og dugnadsarbeid er, som sagt, påstander)
Sitat av clarionify Vis innlegg
Ser ikke helt problemet. Om noen får tak i passord og brukernavnet mitt, et det verste de kan gjøre er å få meg bannet. No big deal. Ikke at jeg sier det ikke er positivt med https, men du hyler av deg støvlene her.

Å sammenligne med vg, nrk osv blir vel litt feil. Freak er vel drevet i sin helhet på dugnad og eventuelle inntekter går vel til drifting av siden. Kan godt forstå at dette ikke står øverst på lista om det er tidskrevende.

(Påstandene om inntekter og dugnadsarbeid er, som sagt, påstander)
Vis hele sitatet...
Siden veldig mange mennesker bruker samme brukernavn/passord på ulike sider, uansett hvor mye du forteller det at det er dumt, så er det faktisk veldig krise om noen finner freak-passordet dems.

HTTPS er derfor noe man selvfølgelig burde strebe etter å få til, men det er ikke alltid like enkelt å fikse ting i legacy-systemer.
Sitat av etse Vis innlegg
Siden veldig mange mennesker bruker samme brukernavn/passord på ulike sider, uansett hvor mye du forteller det at det er dumt, så er det faktisk veldig krise om noen finner freak-passordet dems.

HTTPS er derfor noe man selvfølgelig burde strebe etter å få til, men det er ikke alltid like enkelt å fikse ting i legacy-systemer.
Vis hele sitatet...
Hehe ser den etse. Kjipt at mange ikke har tatt til seg dette.
Trådstarter
Sitat av frtoretang Vis innlegg
Veldig bra at temaet kommer opp også får heller modsa forsøke å styre tråden i en retning som fremmer saken slik at en ikke fokuserer på hvordan ts skrev første innlegg men hva som var temaet til ts.

For mange brukere her så sitter de nok ofte bak vpn, og det er jo bra det. Men det løser jo ikke grunn problemet. Manglende HTTPS innlogging. Er enig med ts i at det bør være et fokus på dette, og mer så enn IPv6. Med legacy kode, sikkert mange moduler som er har blitt kodet og rekodet mange ganger så skjønner jeg at en ikke bare knipser også er HTTPS kjørende. Men som ellers i livet når en ønsker noe, sett mål, vær konkret og forsøk og jobbe dere inn mot en skikkelig løsning. Løse planer eller tanker om at ting ville vært kjekt fører sjeldent til måloppnåelse.
Vis hele sitatet...
Ja, får håpe de retter fokus på å fjerne sikkerhetsproblemene etter at det nye designet er ferdigutviklet.

At sikkerhet kan være vrient er et utrolig dårlig argument for å ikke fokusere på det. Det blir litt som en bank med en tynn tredør inn til bankhvelvet droppet å bytte til skikkelig hvelvdør av stål fordi den nye døra var litt vrien å installere.

Google vil forhåpentligvis shame nettsider med usikra dataoverføring snart: https://motherboard.vice.com/read/go...d-chrome-https
Sist endret av kris33; 17. april 2016 kl. 19:38.
Det blir da ikke helt riktig å sammenligne freak med en bank.

Dette er et åpent forum, hvor alle kan lese så godt som alt som skjer på forumet. Det eneste noen kan oppnå ved å sniffe en sesjon mot freakforum er å se hva du leser, hvilket brukernavn du benytter, og de kan ødelegge "ryktet" ditt med spamming. Det er også mulig å overvåke hva du poster, men dette er egentlig ikke så interessant. Hvis du poster noe som er interessant nok, f.eks. for politiet, så vil de nok bare ta kontakt med administrator og få utlevert alt de trenger. Passordene blir også hashet før de sendes (riktignok med MD5).

Til syvende og sist er det ikke veldig stort skadeomfang ved å utsette oppgraderingen litt til.

Og om du fortsatt tror at det bare er å trykke på en knapp og så blir alt SSL så tar du sørgelig feil. Det ble forsøkt for noen år siden, og til slutt reversert etter at en milliard forskjellige funksjoner sluttet å virke. Eksempelvis caching, galleriet, linker til forumet, interne lenker innad i forumet og nesten alle hjemmesnekrede funksjoner. Det tok heller ikke mange tastetrykkene før man var tilbake til den ikke-krypterte versjonen.

Så man må veie SSL mot et funksjonelt forum, og derfor tror jeg ikke dette er noe som blir rushet. Hvis du synes dette er helt forferdelig, så får du ta forholdsregler som alle andre. Ikke post identifiserende informasjon, ikke post om ulovlige handlinger du er involvert i, og bruk VPN for å nå internettet. Jeg ønsker også at sidene jeg besøker skal ta i bruk kryptering, men jeg har forståelse for at det ikke alltid er så enkelt å utføre.
Sist endret av Dyret; 17. april 2016 kl. 22:08.
Trådstarter
Sitat av Dyret Vis innlegg
Dette er et åpent forum, hvor alle kan lese så godt som alt som skjer på forumet. Det eneste noen kan oppnå ved å sniffe en sesjon mot freakforum er å se hva du leser, hvilket brukernavn du benytter, og de kan ødelegge "ryktet" ditt med spamming. Det er også mulig å overvåke hva du poster, men dette er egentlig ikke så interessant. Hvis du poster noe som er interessant nok, f.eks. for politiet, så vil de nok bare ta kontakt med administrator og få utlevert alt de trenger. Passordene blir også hashet før de sendes (riktignok med MD5).
Vis hele sitatet...
Hvorvidt du synes masseovervåking og innsamling av "bare metadata" for å bygge profiler er problematisk eller ikke er en stor diskusjon vi ikke skal ta her.

Jeg synes iallefall det hadde vært skummelt om noen hadde opprettet en database med alle detaljene fra livet mitt - inkludert masse ting jeg ikke frivillig "har delt", men kun har blitt snappet opp fra usikra forbindelser over internett.

I tillegg kommer jo all problematikken med injeksering og endring av siden, som bla kan brukes til deanonymisering av VPN-brukere gjennom WebRTC f.eks, spesifikk sensur og forsøk på spreding av malware.

De aller fleste sikkerhetseksperter er enige om at HTTP er utrygt generelt, og uansvarlig på sider med innlogging. Der er det egentlig ingen uenighet, iallefall ikke som jeg har sett. Gi meg gjerne en link, kunne vært interessant å lese om.

Sitat av Dyret Vis innlegg
Til syvende og sist er det ikke veldig stort skadeomfang ved å utsette oppgraderingen litt til.

Og om du fortsatt tror at det bare er å trykke på en knapp og så blir alt SSL så tar du sørgelig feil. Det ble forsøkt for noen år siden, og til slutt reversert etter at en milliard forskjellige funksjoner sluttet å virke. Eksempelvis caching, galleriet, linker til forumet, interne lenker innad i forumet og nesten alle hjemmesnekrede funksjoner. Det tok heller ikke mange tastetrykkene før man var tilbake til den ikke-krypterte versjonen.

Så man må veie SSL mot et funksjonelt forum, og derfor tror jeg ikke dette er noe som blir rushet. Hvis du synes dette er helt forferdelig, så får du ta forholdsregler som alle andre. Ikke post identifiserende informasjon, ikke post om ulovlige handlinger du er involvert i, og bruk VPN for å nå internettet. Jeg ønsker også at sidene jeg besøker skal ta i bruk kryptering, men jeg har forståelse for at det ikke alltid er så enkelt å utføre.
Vis hele sitatet...
Problemet er ikke at de ikke innfører SSL i morgen, problemet er at de tilsynelatende ikke synes det er viktig å innføre.

Det er en massiv forskjell på
1. "SSL er vanskelig å innføre så vi ber om forståelse for at det tar litt tid ettersom det krever mye arbeid" og
2. "SSL er vanskelig å innføre, så vi ga opp. Kanskje vi gjør et nytt forsøk en gang i framtiden".

Jeg synes det er dypt problematisk at de har valgt å gå for statement 2.
Sist endret av kris33; 18. april 2016 kl. 02:20.
Sitat av kris33 Vis innlegg
Hvorvidt du synes masseovervåking og innsamling av "bare metadata" for å bygge profiler er problematisk eller ikke er en stor diskusjon vi ikke skal ta her.

Jeg synes iallefall det hadde vært skummelt om noen hadde opprettet en database med alle detaljene fra livet mitt - inkludert masse ting jeg ikke frivillig "har delt", men kun har blitt snappet opp fra usikra forbindelser over internett.
Vis hele sitatet...
Masseovervåking og datainnsamling kan ikke enkelt gjøres av andre enn stat/ISP. Ellers må noen konstant følge deg rundt og se på hva du ser på. På det nivået er det allerede veldig enkelt å bare kopiere alt som lagres på forumet slik det er, og så heller spørre admins om info om en bruker når de føler at de har en sak. Å knytte deg til en spesifikk person her er det eneste ekstra de oppnår, samt se hvilke tråder du klikker på. Å identifisere brukeren din kan de allerede gjøre ved å sammenligne tidspunktet mellom når du kobler deg til forumet og listen over aktive brukere - helt uavhengig av SSL. Over tid kan de med 100% sannsynlighet knytte IPen din til en spesifikk bruker. Hvilke tråder du leser er litt verre, og du har et poeng i at dette kan passivt samles inn per dags dato. Men det er ikke umulig over SSL heller, om overvåkeren går aktivt til verks. Om man sammenligner bursts av data (i bytes) mot lengden på enkelttråder, så lar nok dette seg gjøre også.

Sitat av kris33 Vis innlegg
I tillegg kommer jo all problematikken med injeksering og endring av siden
Vis hele sitatet...
Dette er et poeng, men om du er redd for masseovervåkning av staten så kan de jo bare opprette sitt eget sertifikat. Det er også veldig mange andre steder de kan injeksere, f.eks. reklamenettverk, static/CDN-servere eller bare gå etter andre, mer velbrukte nettsteder.

Sitat av kris33 Vis innlegg
Det er en massiv forskjell på
1. "SSL er vanskelig å innføre så vi ber om forståelse for at det tar litt tid ettersom det krever mye arbeid" og
2. "SSL er vanskelig å innføre, så vi ga opp. Kanskje vi gjør et nytt forsøk en gang i framtiden".

Jeg synes det er dypt problematisk at de har valgt å gå for statement 2.
Vis hele sitatet...
Det er en større forskjell på å fullstendig avvise ønsker om SSL og å forsøke så godt det går an å innføre det. Forumet her har forsøkt tidligere, av samme grunner som du nå referer til, og det fungerte dårlig. Det er planlagt å innføre igjen, men krever mye arbeid. Det er knapt mer enn én person som jobber med utvikling forumet, og det på fritiden. Da er det litt begrenset hva vi kan forvente.

Og for å nevne det igjen, så er jeg også helt for SSL, og ønsker dette overalt. Men jeg synes ikke det brenner så voldsomt for øyeblikket. Sikkert verdt å forsøke igjen snart, om enn som en frivillig beta.
Jeg selv leser alt av poster på forumet, alt fra bomber, heroin til fisketur med bestemor. Ser ikke problemet med at det ikke er HTTPS på siden. Om jeg er redd for passordet mitt bruker jeg et annet passord..

Når det er sagt så har jeg vært på stasjonen til politiet for masse rare greier og dem har aldri nevn om freak.no en gang.. Så sannsynligheten for at dem plutselig kommer og sparker inn døra fordi jeg beste om heroin er nokk ikke tilstede.
Og om det skulle skjedd så hadde jeg bare sagt: også? Er vell lov og lese om hva man vill!

Om du er så skeptisk og syns alt her inne er forferdelig, uproft og farlig så finn heller et annet forum med HTTPS og hele regla eller skaff deg en VPN som duger.
Sist endret av 4asd13; 18. april 2016 kl. 15:48.
Trådstarter
Sitat av Dyret Vis innlegg
Om du er redd for masseovervåkning av staten så kan de jo bare opprette sitt eget sertifikat.
Vis hele sitatet...
Hva mente du med dette?


Sitat av Dyret Vis innlegg
Det er en større forskjell på å fullstendig avvise ønsker om SSL og å forsøke så godt det går an å innføre det. Forumet her har forsøkt tidligere, av samme grunner som du nå referer til, og det fungerte dårlig. Det er planlagt å innføre igjen, men krever mye arbeid. Det er knapt mer enn én person som jobber med utvikling forumet, og det på fritiden. Da er det litt begrenset hva vi kan forvente.
Vis hele sitatet...
Er det faktisk planlagt? Ut ifra hva administrator har sagt er det ikke det, det er bare "sikkert noe vi kan se på igjen".

Nettopp fordi det er så vrient er det ikke noe som plutselig kan innføre over natta. SSL vil ikke plutselig være enkelt neste gang de "ser på det" (med mindre de bytter til en oppdatert og støttet forumløsning, noe som kanskje kunne vært en bedre løsning i lengden?).

De må gå målrettet gjennom den gamle kodebasen og oppdatere koden alle steder hvor det er nødvendig. Det tar tid, og må gjøres gradvis.

Det trengs en plan, og per nå virker det ikke som en plan engang er planlagt å lages.

Igjen, det er greit og totalt forståelig at SSL krever mye arbeid som vil ta lang tid fordi det er et fritidsarbeid. Problemet er at med en "kanskje vi kan se på det igjen"-holdning vil det aldri bli startet å bli gjort noe engang.

Sitat av haxxor Vis innlegg
Jeg selv leser alt av poster på forumet, alt fra bomber, heroin til fisketur med bestemor. Ser ikke problemet med at det ikke er HTTPS på siden. Om jeg er redd for passordet mitt bruker jeg et annet passord..
Vis hele sitatet...
90+% av all hacking er mulig nettopp på grunn av den feilslåtte tankegangen som heldigvis blir mindre og mindre vanlig. Så lenge sikkerhet er komplisert og forbeholdt datakyndige vil det være masse enkle mål der ute. Løsningen er ikke å si "noob, du faila med sikkerheten, så din skyld du ble hacka", løsningen er å gjøre sikkerhet enkelt og usynlig. Der er SSL en kjempegod løsning.

Sitat av haxxor Vis innlegg
Om du er så skeptisk og syns alt her inne er forferdelig, uproft og farlig så finn heller et annet forum med HTTPS og hele regla eller skaff deg en VPN som duger.
Vis hele sitatet...
VPN skjuler ikke IPen din, med mindre du er en av de ytterst få som aktivt deaktiverer funksjoner i nettleseren din for å skjule lekkasje av IPen.

Å stole på VPN er forresten en dum ide selv om du er dyktig nok til å skjule IPen din. Om jeg var ondsinnet ala NSA og hadde et ønske om å snappe opp interessante ting ville jeg faktisk fokusert ekstra på å overvåke nettet til VPN-tilbudere, fordi svært mange av VPN-kundene nettopp bruker VPN fordi de tror det øker sikkerheten når det i praksis bare flytter stedet hvor dataene blir gjort ukryptert (fra din nettforbindelse til VPN-tilbuderens nettforbindelse). Det er jo mye greiere for NSA etc å bare å samle ihop alle dataene fra et subnet med masse folk som tror de er anonyme enn enten å måtte samle opp absolutt alt fra alle eller lete etter spesifikke interessante mål for oppsamling.
Sist endret av kris33; 20. april 2016 kl. 17:50.
Ble virkelig sjokkert over å finne en slik tråd her! Slo meg ikke å sjekke etter https sikkerhet på ett undergrunnsforum, har en annen bruker her som jeg har hatt i 7 år og har ikke lagt merke til at dere ikke bruker https før nå! Håper dere kan varsle om mangel på sikkerheten når du skal opprette passord under registrering eller gi hint om at du bør opprette et passord du ikke bruker andre steder. For mennesker som begynner å slite med angst for all overvåking regjeringen skal begynne med, så satte denne tråden er forferdelig følelse i kroppen akkurat nå.

Hele grunnen til at jeg kanskje overdriver med ord og meninger i dette innlegget, er bare fordi jeg har blitt fryktelig glad i freakforum iløpet av årene som har gått. IKKE TA DET PERSONLIG MODERATORER! Dere gjør en knakenes jobb ellers, men kanskje ikke så dumt å søke etter assistanse angående kode-skrivingen fra brukere som er like glad i forumet som jeg er!

Med Vennlig Hilsen en trofast freakforum bruker

Peace and Love :*
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av R4forGOLD Vis innlegg
For mennesker som begynner å slite med angst for all overvåking regjeringen skal begynne med, så satte denne tråden er forferdelig følelse i kroppen akkurat nå.
Vis hele sitatet...
I så fall er problemet ditt angst, og ikkje mangelen på SSL. For trur du oppriktig at ikkje t.d. NSA kan framtrylle falske, gyldige, SSL-sertifikat om dei vil? I tillegg vil det vere rimeleg trivielt å korrelatere trafikken din med bruken din på nFF, ettersom det er ei åpen nettside.

Det SSL kan beskytte mot er sniffing av passord på åpne wlan e.l. På eit ope forum vil det gjere relativt lite mot ein angriper som har lovverket i bakhand.

Forøvrig kan ein jo notere seg at t.d. jetcarrier har SSL, og tilsynelatande lagrar passord i klartekst, som er langt verre enn å ikkje ha SSL og oppbevare hash av passord...
Sist endret av vidarlo; 20. april 2016 kl. 20:08.
Trådstarter
Sitat av vidarlo Vis innlegg
I så fall er problemet ditt angst, og ikkje mangelen på SSL. For trur du oppriktig at ikkje t.d. NSA kan framtrylle falske, gyldige, SSL-sertifikat om dei vil?
Vis hele sitatet...
Når Freak ordner SSL burde de ordne HPKP og HSTS i samme slengen, som hindrer dette

Sitat av vidarlo Vis innlegg
...tilsynelatande lagrar passord i klartekst, som er langt verre enn å ikkje ha SSL og oppbevare hash av passord...
Vis hele sitatet...
Nå skal det sies at Freak visstnok lagrer passord med komisk svake MD5 (+ sikkert salt og kanskje pepper), så om noen får tilgang til databasen har de i praksis tilgang til de aller fleste passordene i klartekst ved å la en bruteforcing kjøre i max noen dager.
Sist endret av kris33; 21. april 2016 kl. 02:22. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
ओम नमो नारायण
Dodecha's Avatar
DonorCrew
Denne tråden oser av uvitenhet og paranoia.

Som en langtidsbruker på Freak har jeg aldri hatt problemer med sikkerheten, eller anonymiteten, fordi slike ting er ens egen jobb å ta hensyn til.
Om dere synes dette prinsippet er så viktig så kanskje dere skulle starta en innsamlingsaksjon for å få prosjektet på bena i stedet for å sitte å klage over kode dere ikke har kompetanse til å forstå selv.

For innleggene bærer ikke akkurat preg av at de som hyler over sikkerheten her er kompetente på teknologien, kanskje dere bør sette dere litt mer inn i hvordan ting fungerer før dere peker fingre hit og dit. Tråden har fått en omtrent konspirasjons-aktig tone.
ArbeidsledigProletar
Folk er ikke SÅ gira på infoen din. Relax.


Håper for guds skyld at dette ikke fører til en masse folk som går "SWIM THIS AND SWIM THAT" pga denne tråden.
Morsomt å lese hvordan moderatorer, crew og opplagte fanboys er superopptatt av kryptering i en tråd om jetcarrier men bare skuffer de samme argumentasjonene under teppet når det gjelder freak...
Lenge leve dobbeltmoralen, yuhuu!
Er en relativt stor forskjell på Freak som er mer et hobbyprosjekt imens Jetcarrier er en seriøs bedrift hvor du legger inn kortinformasjon osv.
ओम नमो नारायण
Dodecha's Avatar
DonorCrew
Sitat av Pochahontas Vis innlegg
Morsomt å lese hvordan moderatorer, crew og opplagte fanboys er superopptatt av kryptering i en tråd om jetcarrier men bare skuffer de samme argumentasjonene under teppet når det gjelder freak...
Lenge leve dobbeltmoralen, yuhuu!
Vis hele sitatet...
Les vidarlo sitt innlegg over her,om du ikke skjønner forskjellen på å sende en hash av passordet ukryptert og det å lagre passord i klartekst så er du inkompetent i forhold til problemstillingen.
Sitat av Pochahontas Vis innlegg
Lenge leve dobbeltmoralen, yuhuu!
Vis hele sitatet...
Vel, nå er JetCarrier en kommersiell aktør, freak er det ikke. De tar seg betalt for tjenestene sine. Sist jeg sjekket betalte ikke du for freak. Freak har EN person til alt som skal gjøres, og dette gjøres på fritid av egen lomme. De pengene som blir brukt må komme fra annet arbeid.

JetCarrier har verken https eller et passordsystem som burde brukes. De har kunder.

Freak har ikke ennå https, men passordene er krypterte. Vi har brukere.

Man kan bare sammenlikne "moral" hvis situasjonen er lik, noe den ikke er her. Men hey, bruker vi din forståelse av dette, så er freak langt på vei bedre stilt enn JC.
Av det jeg har lest så har noe av argumentasjonen vært at mange mennesker bruker samme passord overalt, hvilke andre tungtveiende grunner mener du er essensen?

Sitat av Mkvarner Vis innlegg
Er en relativt stor forskjell på Freak som er mer et hobbyprosjekt imens Jetcarrier er en seriøs bedrift hvor du legger inn kortinformasjon osv.
Vis hele sitatet...
Okei? Jeg forsto det slik på den som postet for jc at de ikke lagret kortinformasjon eller personnummer? Kun enkel brukerdata som man nærmest finner på gulesider.

Nå har jeg ikke testet tjenesten, men skal lage meg en konto å sjekke - hvis det er som du sier at de lagrer kortinfo fra meg og slikt så er vi enige - da suger det!

Men jeg tviler på at det er slikt, det må da være et krav fra kortinnløseren at det er kryptering på plass?

Dette blir for dumt, her kan Dodecha bruke en hersketeknikk på sitt innlegg fordi han er nFF crew, men bruker jeg samme teknikk så går nFF Crew mr. Meitemark inn og modererer mitt. Snakk om å dra dobbeltmoralen enda lengre.
Sist endret av Pochahontas; 21. april 2016 kl. 16:46. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Pochahontas Vis innlegg
Av det jeg har lest så har noe av argumentasjonen vært at mange mennesker bruker samme passord overalt, hvilke andre tungtveiende grunner mener du er essensen?
Vis hele sitatet...
Altså, dette er jo to helt forskjellige problemer. JetCarrier lagrer passord på en uansvarlig måte som gjør det mulig å rekonstruere eller direkte avlese passordene til samtlige kunder – mange av dem bruker sannsynligvis samme passord på JetCarrier som på e-postkontoen de har registrert der. Freak derimot, mangler SSL, som ikke har noe med dette problemet å gjøre og er en filleting i forhold.
Sitat av Provo Vis innlegg
Altså, dette er jo to helt forskjellige problemer. JetCarrier lagrer passord på en uansvarlig måte som gjør det mulig å rekonstruere eller direkte avlese passordene til samtlige kunder – mange av dem bruker sannsynligvis samme passord på JetCarrier som på e-postkontoen de har registrert der. Freak derimot, mangler SSL, som ikke har noe med dette problemet å gjøre og er en filleting i forhold.
Vis hele sitatet...
Det er mulig jeg ikke har satt meg godt nok inn i materien, men poenget med den andre tråden er at passord sendes tilbake til brukeren i klartekst, altså kan noen som ligger å "sniffer" på trafikken fange opp dette.

Det samme må da være temaet for freak? Ligger du å sniffer på trafikken her så kan du få akkurat samme informasjon?

Filleting og filleting, det er potensielt 3000 brukere pr. dag som kan bli berørt iht. forsiden til freak så:

Høyest antall brukere påkoplet samtidig var 3.100, 22. juli 2011 kl 17:00

Kan du sniffe på kommunikasjonen så holder det med at du får tak i en adminbruker for å gjøre enda litt mer ugang. Jeg vil anta at de er enda enklere å finne, da de logger inn regelmessig.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Pochahontas Vis innlegg
Det er mulig jeg ikke har satt meg godt nok inn i materien, men poenget med den andre tråden er at passord sendes tilbake til brukeren i klartekst, altså kan noen som ligger å "sniffer" på trafikken fange opp dette.
Vis hele sitatet...
Det er minimal risiko, og vil kun berøre ein eller eit fåtall brukarar. Langt meir reell og større risiko er sikkerhetshol som lar eksterne få tilgang til databasen. Det vil angå alle brukarar og kan trivielt automatiserast til å sjekke f.eks. gmail-adresser mot passordet, e.l.

Det gjer ein mykje vanskeligare med hashing + salting. Så vil heller ha ei nettside utan ssl med hasha passord enn netside med ssl utan hashing.
Sitat av Pochahontas Vis innlegg
Det samme må da være temaet for freak? Ligger du å sniffer på trafikken her så kan du få akkurat samme informasjon?
Vis hele sitatet...
Hva nso velger å gjøre, eller ikke gjøre, med situasjonen på freak har da ingen betydning for hva freaksa måtte mene om JC? Det er greit at folk reagerer på dobbeltmoral, reell eller innbilt, men om så ledelsen ved et forum 'ikke tar sikkerhet på alvor' så betyr da ikke det at brukerne av nettstedet ikke kan kritisere laber sikkerhet hos andre? Jeg skjønner at det for utenforstående kanskje kan virke som om freaksa utgjør en slags hivemind, men det er faktisk ikke slik (ennå).

Rent konkret ser vi imidlertid at sikkerheten hos freak og JC ikke like dårlig. Det er forbedringpotensiale begge steder, men la gå. Det er det alltid. Men noen feil er mer alvorlige enn andre. Mer avslørende er imidlertid reaksjonene de ansvarlige har presentert: Ved freak sa nso rett ut at problemets alvorlighetsgrad ikke samsvarer med jobben som må til for å fikse det, derfor blir det ikke prioritert. I mellomtiden får du selv ta ansvar på ulike måter. Det er kanskje ikke beskjeden man liker å høre, men det er ærlig. JetCarrier svarer derimot ved å kalle kritikerne for paranoide idioter, påstår at de har fiksa problemet ved å fjerne den kosmetiske featuren som gjorde at det ble oppdaga, og har en generelt ganske arrogant og nedlatende holdning. De kunne ha sagt "Takk for at dere sa fra, vi ser på det og planlegger tiltak X, Y og Z." Eller de kunne i det minste ha vært ærlige og sagt at de ikke anså problemet som tilstrekkelig alvorlig. Jeg tror de fleste reagerer mest på holdningen til JC, ikke på sikkerheten (eller mangel derav).
Sitat av Myoxocephalus Vis innlegg
Hva nso velger å gjøre, eller ikke gjøre, med situasjonen på freak har da ingen betydning for hva freaksa måtte mene om JC? Det er greit at folk reagerer på dobbeltmoral, reell eller innbilt, men om så ledelsen ved et forum 'ikke tar sikkerhet på alvor' så betyr da ikke det at brukerne av nettstedet ikke kan kritisere laber sikkerhet hos andre? Jeg skjønner at det for utenforstående kanskje kan virke som om freaksa utgjør en slags hivemind, men det er faktisk ikke slik (ennå).

Rent konkret ser vi imidlertid at sikkerheten hos freak og JC ikke like dårlig. Det er forbedringpotensiale begge steder, men la gå. Det er det alltid. Men noen feil er mer alvorlige enn andre. Mer avslørende er imidlertid reaksjonene de ansvarlige har presentert: Ved freak sa nso rett ut at problemets alvorlighetsgrad ikke samsvarer med jobben som må til for å fikse det, derfor blir det ikke prioritert. I mellomtiden får du selv ta ansvar på ulike måter. Det er kanskje ikke beskjeden man liker å høre, men det er ærlig. JetCarrier svarer derimot ved å kalle kritikerne for paranoide idioter, påstår at de har fiksa problemet ved å fjerne den kosmetiske featuren som gjorde at det ble oppdaga, og har en generelt ganske arrogant og nedlatende holdning. De kunne ha sagt "Takk for at dere sa fra, vi ser på det og planlegger tiltak X, Y og Z." Eller de kunne i det minste ha vært ærlige og sagt at de ikke anså problemet som tilstrekkelig alvorlig. Jeg tror de fleste reagerer mest på holdningen til JC, ikke på sikkerheten (eller mangel derav).
Vis hele sitatet...

Jeg er ikke uenig i det aller meste av det du skriver, men det blir litt snålt når man kaller en liten bug/feil/feature eller hva man vil kalle det for et kjempeproblem og begynner å kaste stein med en gang.

Mulig jc ikke håndterte tråden aller best, men i mine øyne er det da en helt ok tilbakemelding de gir i sitt første svar. De takker for tilbakemeldinger pluss litt bla bla bla og sier de har gjort noe med saken.

At hivefreaks hisser seg videre opp for stå for egen toleranse og regning.

Jeg har forøvrig lagd meg en jc konto nå, og jeg fant ikke et eneste sted som man skal skrive inn hverken kredittkort eller andre opplysninger som er sensitive. Har kanskje ikke lett godt nok, men det var jo et par postinger i denne tråden som påpekte dette? Liker på en måte å sjekke ting selv, før jeg kaster mer bensin på bålet
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Pochahontas Vis innlegg
Jeg har forøvrig lagd meg en jc konto nå, og jeg fant ikke et eneste sted som man skal skrive inn hverken kredittkort eller andre opplysninger som er sensitive.
Vis hele sitatet...
Kven er det som har påstått at dei samler sensitiv informasjon? Ingen. Kritikken din er skivebom. Eg skal skissere opp problemet for deg:
1: JC lagrer passord i klartekst
2: folk er idioter og bruker passord fleire plasser.

For meir info kan du sjå det forrige innlegget mitt i denne tråden.
nso
popålol
nso's Avatar
Administrator
Vi ser på dette med HTTPS igjen. Ingen ETA.

Da var det i boks. Dere får rapportere om det er noe feil. Bilder som brukere har lagt ut vil bryte sidens "sikkerhet"-status (ikon-visning) (for eksempel i denne tråden), men det gjør vi ikke noe med.
Sist endret av nso; 23. april 2016 kl. 07:39. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trådstarter
Sitat av nso Vis innlegg
Vi ser på dette med HTTPS igjen. Ingen ETA.

Da var det i boks. Dere får rapportere om det er noe feil. Bilder som brukere har lagt ut vil bryte sidens "sikkerhet"-status (ikon-visning) (for eksempel i denne tråden), men det gjør vi ikke noe med.
Vis hele sitatet...
Nydelig, bra jobba!

Digi.no hadde forresten en bra artikkel om viktigheten av HTTPS i går:
http://www.digi.no/sikkerhet/2016/04...sikre-websider
Sitat av vidarlo Vis innlegg
Kven er det som har påstått at dei samler sensitiv informasjon? Ingen. Kritikken din er skivebom. Eg skal skissere opp problemet for deg:
1: JC lagrer passord i klartekst
2: folk er idioter og bruker passord fleire plasser.

For meir info kan du sjå det forrige innlegget mitt i denne tråden.
Vis hele sitatet...

I innlegg #26 blir det skrevet at de lagrer kortinformasjon. Ta på deg brillene gutt og se om du klarer å treffe skiva selv. At vedkomne som poster tydligvis ikke har sjekket det, og bare spekulerer kan jeg ikke vite før jeg har lagd konto selv.

1) Hvordan vet du at jc lagrer passord i klartekst? At man får tilsendt det i klartekst betyr vel ikke at det har vært lagret i klaretekst.
2) Ja, da kan jo den som har peiling og sniffer litt på freak-trafikk også lett snappe opp slikt.
Sitat av Pochahontas Vis innlegg
I innlegg #26 blir det skrevet at de lagrer kortinformasjon.
Vis hele sitatet...
Eventuelt står det "[...]Jetcarrier er en seriøs bedrift hvor du legger inn kortinformasjon[...]". Kan det tenkes at det med legger inn her menes å skrive inn i et skjema? Jeg ser ikke automatikken i at det står lagre til database.

Sitat av Pochahontas Vis innlegg
1) Hvordan vet du at jc lagrer passord i klartekst? At man får tilsendt det i klartekst betyr vel ikke at det har vært lagret i klaretekst.
Vis hele sitatet...
Fordi det er den eneste måten å få ut passordet i klartekst. Du kan selvfølgelig benytte rot13 eller noe, men det blir omtrent det samme som å lagre det i klartekst.
nso
popålol
nso's Avatar
Administrator
Det stemmer ikke at det er eneste måte å lagre passordet for at de skal kunne sende det rått tilbake. De kan for eksempel ha i bruk en krypeterintsalgoritme hvor de har nøkkelen lagret i koden sin. Det er slik jeg ville valgt å lagre ting som realname, epostadresse og lignende hvis jeg hadde designet en database idag. Ikke passord, riktignok
Sist endret av nso; 25. april 2016 kl. 17:50.