https tijdens inloggen

[evarie]

Mag ik meer duidelijkheid over het inloggen met https op het forum en wiki?
Het is toch beter om in te loggen met https? of is dat niet nodig?

[asphyxia]

Met 'https' wil zeggen, dat je dataverkeer versleuteld ('encrypted') is met SSL (Security Socket Layer). Dat kan je soms in je browser instellen, dat dit standaard gebeurt (kan met Google ook trouwens, zie https://encrypted.google.com en https://ssl.scroogle.org ).

Alleen, de site waar je naartoe gaat moet dit ook ondersteunen. Dit gaat met certificering, en dat kost geld.
Er staat me bij dat deze discussie ook over de IRC-kanalen van ubuntu-nl is geweest.

Kortom, volgens mij heb je dan gewoon een http verbinding met deze site, zonder SSL. Mocht ik de plank misslaan, dan zet ik m'n ezelsoren wel op 

[Pjotr]

https is alleen nodig bij bescherming van gevoelige en/of kostbare gegevens. Bij een forum is daar geen sprake van, dus is https niet nodig.

Het enige belangrijke element is wellicht je wachtwoord, omdat je dat mogelijk ook gebruikt in andere situaties die wel belangrijk zijn. Als forumlid kies je daarom voor een niet-https-aanmelding zoals hier, het beste een onbelangrijk wachtwoord dat totaal niet lijkt op je belangrijke wachtwoord(en). Zodoende staat er niets op het spel.  

[Vistaus]

https is alleen nodig bij bescherming van gevoelige en/of kostbare gegevens. Bij een forum is daar geen sprake van, dus is https niet nodig.

Dus Motorola heeft voor haar Support Forums geld weggegooid om https te krijgen?

[Timo]

Zoiets XD

[Rachid]

Het is toch beter om in te loggen met https? of is dat niet nodig?

Dat is veiliger ja. Want als iemand jouw lijntje zit af te luisteren, zal degene je gebruikersnaam/wachtwoord niet kunnen uitlezen.

https is alleen nodig bij bescherming van gevoelige en/of kostbare gegevens. Bij een forum is daar geen sprake van, dus is https niet nodig.

Het enige belangrijke element is wellicht je wachtwoord...

Dat het niet nodig is vind ik overdreven. Ik wil gewoon dat altijd mijn gevoelige gegevens over een beveiligde verbinding gaan.


Waarom er nu geen gebruik van HTTPS wordt gemaakt weet ik niet. Er zullen vast verschillende redenen voor zijn.

[asphyxia]

https is alleen nodig bij bescherming van gevoelige en/of kostbare gegevens. Bij een forum is daar geen sprake van, dus is https niet nodig.

Dus Motorola heeft voor haar Support Forums geld weggegooid om https te krijgen?

Wat Motorola doet, moeten ze zelf weten. Echter, wat gecommuniceerd is met het forum is op de site voor een internettoerist uit cyberspace zó leesbaar, dus wat moet je dan met versleuteling op de weg ernaartoe?
Inloggegevens zijn iets anders, vandaar het advies van Pjotr om daar in ieder geval een ander password voor te kiezen, dan voor belangrijkere accounts  

Er zijn ook sites waarbij alleen voor het inloggen https wordt gebruikt (Windows Live, Hotmail bv.). Maar nogmaals, SSL certificering voor een site kost ook geld...

[Rachid]

....Echter, wat gecommuniceerd is met het forum is op de site voor een internettoerist uit cyberspace zó leesbaar, dus wat moet je dan met versleuteling op de weg ernaartoe?

Met een server-certificaat heb je als bezoeker ook een soort garantie dat je echt praat met degene waarvan je wilt dat je praat (dus echt dit forum, en niet een fake opgezet forum). Dan wil je dus niet alleen tijdens inloggen, maar altijd HTTPS.
HTTPS voorkomt ook Man in the Middle attacks.
Eve (eavesdropper) zal alleen meeluisteren en dat maakt voor dit forum niet zoveel uit.
Maar Trudy (intruder) kan ook berichten aanpassen, en zal er bijv. voor kunnen doen zorgen dat jij andere content voorgeschoteld krijgt, dan wat daadwerkelijk op dit forum staat.

Ik kan nog wel wat verder paranoia doorslaan als je wilt. Maar je moet dit soort risico's wel in perspectief zetten natuurlijk. Hoeveel moeite een aanvaller hiervoor doen? Wat valt er te halen (op dit forum)? Wat is dan dus de kans dat iemand dit soort dingen dan zal doen?

[Vistaus]

Rachid +1

Ubuntu-NL groeit en we hebben ook zo nu en dan spam-accounts hier op het forum (hoewel de meeste gelukkig op voorhand al geblokkeerd worden door het team). Maar vooral door de groei van het forum en opkomst van Ubuntu wel je natuurlijk wel dat je niet strakjes last krijgt van 'Trudy'. Dus ik ben het volledig met Rachid eens.

[Soul-Sing]

dit forum heeft een tijdje de mogelijkheid gehad via https te bezoeken/in te loggen

[Johan van Dijk]

Die mogelijkheid is er nog steeds dacht ik, al krijg je dan wel allerlei waarschuwingen te zien over niet vertrouwde certificaten en zo.

[Vistaus]

Ja, net als bij Ubuntu-NL OTRS. Dan kom je daar en dan vindt Firefox dat er een beveiligingsrisico is.