Coderen van verbinding met Ubuntu-NL

[Cumulus007]

Nee.

[nomko]

Ik volg deze discussie en wat ik nu zie is dat er allerlei "onzinnige" zaken naar voren worden geschoven om vooral een beveiligde verbinding op te zetten via https://.
Wat ik niet terug zie is een fundamenteel goed onderbouwd argument om toch https:// te gaan gebruiken.
En wat ik ook niet terug zie zijn voordelen en nadelen tussen http:// en https://.

Mij dunkt het dat https:// volledig overbodig is. Immers, dit is een forum waar geen gevoelige informatie verspreid wordt, waar je geen persoonlijke (bank)gegevens behoeft in te voeren, waar normale zaken voor iedereen zichtbaar is maw. de berichten die geplaatst worden is door iedereen te lezen.
Https:// heeft meer voordeel voor banken, webshops, verzekeringsmaatschappijen, etc. die online diensten aanbieden. Het Ubuntu forum biedt geen online diensten aan in de trant voor voorgenoemde instellingen.
Verder dient er gedacht te worden aan wat er op deze forum staat, is dit echt informatie die een dergelijke beveiligde verbinding nodig heeft?
Wat voor functie of toegevoegde waarde heeft https:// voor het Ubuntu forum? Andere forums werken ook gewoon met het http:// protocol om dezelfde redenen: https:// heeft geen toegevoegde waarde.


Sorry Dooitze dat ik het zo zeg, maar als jij of iemand anders hier een topic opent in de Off-topic rubriek met vragen of polls om je handtekening te laten zien of je bankgegevens te tonen, dan spoor je niet helemaal en ben je erg druk bezig om dit forum te verzieken.
En dan zijn er hier nog onze respectabele moderators die dergelijke onzin berichten op slot kunnen doen.
Ik denk dan ook dat het ook meer onze verantwoording is over wat wij willen plaatsen. De topic starter dient goed over na te denken wat hij/zij wil plaatsen. Ik heb dan ook het vermoeden dat als we https:// gaan toepassen, dat het hier op het forum dan helemaal spaak loopt en dat je dan wel allerlei onzin topics krijgt die je hier niet wilt hebben. Om een mooi spreekwoord aan te halen: je gaat de kat op het spek binden! Niet doen dus!

[Dooitze de Jong]

Sorry Dooitze dat ik het zo zeg, maar als jij of iemand anders hier een topic opent in de Off-topic rubriek met vragen of polls om je handtekening te laten zien of je bankgegevens te tonen, dan spoor je niet helemaal en ben je erg druk bezig om dit forum te verzieken.
En dan zijn er hier nog onze respectabele moderators die dergelijke onzin berichten op slot kunnen doen.
Ik denk dan ook dat het ook meer onze verantwoording is over wat wij willen plaatsen. De topic starter dient goed over na te denken wat hij/zij wil plaatsen. Ik heb dan ook het vermoeden dat als we https:// gaan toepassen, dat het hier op het forum dan helemaal spaak loopt en dat je dan wel allerlei onzin topics krijgt die je hier niet wilt hebben. Om een mooi spreekwoord aan te halen: je gaat de kat op het spek binden! Niet doen dus!

Ik gaf alleen een voorbeeld, dit zou ik zelf nooit van z'n leven gaan doen

Het voordeel van HTTPS:// ten opzichte van HTTP:// is dat het een gecodeerde verbinding. Zodat een botnet of een hacker, niet gebruikersnamen en wachtwoorden kan vinden, denk dan bijv aan onbeveiligde draadloze netwerken (WEP kan je ook onveilig noemen) om de inloggegevens te misbruiken.  Als google het kan, kan een hacker het ook. En straks het eerste het beste botnet ook. En als laatste: wat hier je gebruiksnaam en ww is kan op bijv webwinkels of je bank ook dezelfde inloggegevens hebben.

Het is gewoon voor een stukje privacy van inloggegevens en bankgegevens.


Gr.
Dooitze

PS Kon gisteren niet zo een lang antwoord geven omdat ik op met mijn PDA zat te internetten

[Ron]

Jullie vergeten wel één ding.
Het forum is primair bedoeld om hulp te geven, door het forum te coderen, is niet iedereen meer simpel in staat om een vraag te stellen of een antwoord te zoeken.
Het nut ontgaat mij dan ook volledig............

[nomko]

Jullie vergeten wel één ding.
Het forum is primair bedoeld om hulp te geven, door het forum te coderen, is niet iedereen meer simpel in staat om een vraag te stellen of een antwoord te zoeken.
Het nut ontgaat mij dan ook volledig............

Ron,

+1

Dat is mijn punt ook! Door https:// te gebruiken sluit je grote groepen mensen af van het forum. Deze argument is dan ook volkomen terecht!

[Ronnie]

@Dooitze de Jong
OK, stel je zit op een onbeveiligd netwerkt en een hacker 'steelt' je gebruikersnaam en wachtwoord. De kans is niet groot, maar ik ontken ook niet dat deze aanwezig is.

Worst Case: Dan kan de hacker, op jou naam berichten hier op het forum plaatsen, jou privé berichten lezen en privé berichten sturen.

Hoe groot is de kans dat een hacker JOU gegevens steelt en dan ook zin heeft om JOU berichten door te lezen? Waarschijnlijk ben je daar snel achter en je veranderd je wachtwoord. Hacker kan er niet meer in.

Bovendien, een hacker die dit kan, kan veel interessantere gegevens op het internet binnenslepen, dan een forum account.

Over je bankgegevens: Hoeveel gegevens stuur jij mee, je PIN code ofzo?
Donaties zijn namelijk altijd welkom bij mij. Dus hier alvast mijn rekeningnummer: 163352280 o.v.v. Vrijwillige donatie (ik accepteer geen bedragen kleiner dan 10 euro )

@Ron en nomko
Er is een verschil tussen gebruikers afsluiten en https:// gebruiken. https wil zeggen dat de verbinding tussen browser en de server beveiligd/encrypted zijn. De server decrypt de boel weer en zet deze in een database.

Gasten die het forum bekijken, vragen de data/website van de server, en krijgt deze gewoon te zien (althans, als de gebruiker rechten heeft om die data te kunnen zien)

Je kunt bijvoorbeeld alleen de login pagina beveiligen, zodat de gebruikersnaam/wachtwoord versleuteld wordt. De rest van de data die je verstuurd (afgezien van een enkele PM) is toch openbaar te lezen, dus dit kun je ook unencrypted over het internet zenden.

Alhoewel PM's privé zijn, vind ik niet dat dit beveiligd hoeft te worden. Zo privé is de data nu ook weer niet die verzonden wordt. De login pagina beveiligen zou eventueel mogen van mij, maar aangezien er dan veel code aangepast moet worden zie ik dit zeker niet als een kritiek punt.

[Luuk58]

Of wat ik al zei: optioneel! Dat je zelf het extra s'je in de url mag zetten om naar de beveiligde omgeving te gaan. Dan sluit je niemand af.

[Ronnie]

SSL verbindingen kosten de server meer resources dan normale. Dat betekend dat de server extra belast wordt om alles te beveiligen, terwijl het grootste deel van de data niet privé is.

Ik vind zelfs dat 'optioneel https' niet nodig is.

Een echt goede reden (behalve dat je login gegevens gestolen kunnen worden) heb ik nog niet gehoord.

Volgens mij gebruikt 99% van de fora, geen beveiligde login. Dat wil niet zeggen dat we dat dan ook maar klakkeloos moeten na-apen, maar wat maakt ons forum voor hackers interessanter dan als die andere onbeveiligde fora?

En botnets, die automatisch alle data scannen (en daaruit de logins gegevens haalt) hebben ook niet veel aan die gegevens. Wat wil je als botnet in hemelsnaam doen net zo'n nutteloos forum accountje, het forum gaan spammen? Die is na een paar berichten uitgespamd, omdat het IP geblokkeerd wordt. Waarschijnlijk krijg je van de moderators een mailtje, dat er spam verstuurd wordt met je account en de vraag om je wachtwoord te veranderen.

Dus hier geldt de regel, dat het meer moeite kost om de gegevens te krijgen, dan ze uiteindelijk opleveren. Totaal niet interessant dus!!

[Thijsg]

Er worden hier wel bankgegevens uitgewisseld, maar een bot kan daar nooit van zijn leven achter komen. Op sites van bijv. een bank heb je een apart veld met daarin een banknummer. In een pb, met lopende tekst, lijkt het mij moeilijk te worden voor een bot.

[Dooitze de Jong]

Of wat ik al zei: optioneel! Dat je zelf het extra s'je in de url mag zetten om naar de beveiligde omgeving te gaan. Dan sluit je niemand af.

Dan gaat hij vervolgens weer verder op http://

Topology van bij mij thuis naar de server van Ubuntu_NL

[Luuk58]

Niet als je dit Greasemonkey-script gebruikt:
http://d.luuuuk.nl/ubysecure.user.js

[Dooitze de Jong]

Heb jij dat zonet even gemaakt?

In chromium daily kan ik hem zonder greasemonkey importeren

[Luuk58]

Oh wacht, hij doet t niet echt goed. De links worden niet vervangen.
Kan een Greasemonkey expert hier even naar kijken?


offtopic: hoe maak je zo'n diagramgrafiek dinges?

[Dooitze de Jong]

Oh wacht, hij doet t niet echt goed. De links worden niet vervangen.
Kan een Greasemonkey expert hier even naar kijken?


offtopic: hoe maak je zo'n diagramgrafiek dinges?

Met ZenMAP, daarmee kun je routes traceren en open poorten ontdekken.

Bij mij doet hij het gewoon goed.

[nomko]

Oh wacht, hij doet t niet echt goed. De links worden niet vervangen.
Kan een Greasemonkey expert hier even naar kijken?


offtopic: hoe maak je zo'n diagramgrafiek dinges?

Met ZenMAP, daarmee kun je routes traceren en open poorten ontdekken.

Bij mij doet hij het gewoon goed.

Jongens, ff ontopic blijven graag. Als je wilt discussiëren over dergelijke diagrammen open dan gewoon een andere topic.

[Willempiesnor]

Ik heb nog geen zinnig argument gehoord eerlijk gezegd.

Als je bang bent dat je PM's worden gelezen, doe dan wat ieder verstandig mens doet, zet er niks in wat je niet wilt delen met de wereld. Vergeet niet dat de forumbeheerder(s) (jij weet niet wie dat nu of in de toekomst is) er ook in kunnen kijken als zij die behoefte zouden voelen, de instantie waar de server staat kan erin kijken als ze dat zouden willen etc. Is dat nu een reden om https te gaan plegen? Welnee.

Wat er verkeerd is aan een banknummer zou ik niet weten. Ik zal de mijne niet extra publiceren maar om er nu zo moeilijk over te doen, ik kan daar de logica niet van inzien. Je moet echt wel wat meer gegevens hebben wil je daar misbruik van maken en als jij dat in een PM zet, beveiligd of niet, dan ben je naar mijn mening dommer dan het achtereinde van een varken.

Wat betreft mijn inloggevens, doe me een lol.
Stel dat iemand dat weet, dan is dat vervelend maar de wereld vergaat dan niet. Hooguit dat iemand een verhaal neerzet uit mijn naam waar ik het niet mee eens ben (of gooit er reclame op of ziets). Nou en?
Ik waarschuw de beheerder(s), die sluiten mijn account, klaar. Lekker belangrijk.


Kortom, ik heb nog geen echt zinnig argumet gehoord. Ik blijf dus tegen.

[Rachid]

Ik heb ook nog geen goed argument gehoord.
Maar ik ben niet tegen. Ik ben gewoon niet perse voor... Maar als het er is, zal ik het wel gebruiken

Overigens is deze discussie volgens mij sowieso doelloos. Degene die een beetje invloed hebben op of er al dan niet HTTPS zou komen hoor je niets van.

[SeySayux]

Hier kan je een versleutelde versie van Ubuntu-nl krijgen
http://seysayux.sytes.net/~frank/encrypt.php?url=http://forum.ubuntu-nl.org

[Dooitze de Jong]

Werkt niet met opera mobile

[Rachid]

Ik wil graag een voorstel doen:
De Wiki en het forum worden allebeide met encryptie beveiligd. Dit om mensen zijner identiteit te beschermen als zij een onbeveiligd netwerk hebben

Graag uw reactie,
Dooitze

Graag ook uw reactie op reacties

[Dooitze de Jong]

Je zei toch dat deze discussie doelloos is?

[asphyxia]

Deze discussie is verre van doelloos, integendeel zelfs, ik vind het best nuttig ongeacht de convergerende mening, al had die toegevoegde poll wat mij betreft niet direct gehoeven.

Dooitze heeft wat mij betreft wel degelijk gelijk in zijn punt, dat er bv. bankrekeninggegevens over de lijn gaan. Dat alleen maar een serie getallen, die vooraleerst aan een naam moeten worden gekoppeld. En dan ben je er nog niet, hoor. Natuurlijk is die combinatie interessant, getuige de trits aan phishing-mails die ik regelmatig binnenkrijg op het mailadres wat ik aan Hyves heb gekoppeld, meestal in deerniswekkend slechte Google-translate taal met hilarische verhalen.

Mijn mening zou vooralsnog zijn, om terughoudend te zijn met privé-gegevens in je profiel/account, en zorg dat er geen naam in te herleiden valt. Een extra waarschuwing bij het aanmaken daarvan kan geen kwaad. Hoeveel mensen wisten van non-encryptie toen ze hun profiel aanmaakten? En voor de rest, als het een of andere dodo interesseert wat ik in mijn PB's schrijf, be my guest. Wat moet je ermee? En de rest van het forum is voor elke internettoerist te lezen.

Kortom, van mij hoeft het niet echt.

Maar, nogmaals, deze discussie an sich vind ik niet doelloos 

[Rachid]

Je zei toch dat deze discussie doelloos is?

Dus nadat ik dat zei heb je je erbij neergelegd? Ben je nu van mening veranderd?
Als je je punt duidelijk wilt maken moet je de discussie wel een beetje trekken. En niet alleen op dingen reageren die er niet echt toe doen. In mijn eerste reactie zie je dat ik het best wel met je eens ben. Er zijn wat mensen die er nu op tegen zijn. Persoonlijk zie ik bijna alleen maar non-argumenten. Als je niet voor bent, hoef je niet gelijk tegen te zijn. Enige nadeel is dat het misschien geld kost of dat de server teveel wordt belast. Echter moet 1 van de admins daarover oordelen, want ik (en heel veel van ons) hebben geen inzicht of SSL nou zoveel meer belasting oplevert en of de server dat wel aankan.


Misschien is de discussie an sich inderdaad niet doelloos. Alleen denk ik dat er ongeacht de uitkomst hiervan toch geen actie ondernomen zal worden. Maar discussiëren om te discussiëren kan geen kwaad...

[Dooitze de Jong]

Ik denk dat het logisch dat de servers meer belast worden omdat de pakketten moeten coderen en decoderen

[Johan van Dijk]

Op openbare verbindingen tunnel ik trouwens al mijn browserverkeer via SSH naar mijn thuiscomputer.
Zo kan er niemand meekijken met wat ik allemaal uitvreet op het internet 

Een wat oudere maar nog steeds bruikbare handleiding:
http://ubuntuforums.org/showthread.php?t=723025