Forum PCLab.pl: Połączenie z forum jest "Niezabezpieczone" - Forum PCLab.pl

Skocz do zawartości


Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

  • (2 Stron)
  • +
  • 1
  • 2
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Połączenie z forum jest "Niezabezpieczone" Oceń temat: -----

#1 Użytkownik jest niedostępny   markencjusz 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1108
  • Dołączył: Wt, 22 Lip 08

Napisany 02 Styczeń 2019 - 10:37

Zamiast zielonej kłódki czerwony wykrzyknik. To coś u mnie czy u was?

#2 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 02 Styczeń 2019 - 12:48

Tutaj. Forum nie ma włączonego szyfrowanego połączenia, leci po http, a nie https.

#3 Użytkownik jest niedostępny   markencjusz 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1108
  • Dołączył: Wt, 22 Lip 08

Napisany 02 Styczeń 2019 - 13:13

Czy w takim razie logowanie się jest bezpieczne?

#4 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 02 Styczeń 2019 - 13:55

Nie jest zabezpieczone.
A czy jest bezpieczne, to już kwestia czy dane wysyłane na forum uznajesz za wrażliwe czy nie. Jeżeli hasło masz takie same jak do poczty czy banku, to masz problem, jeżeli zasadniczo różne, to ja nie widzę tutaj wielkiego niebezpieczeństwa ale niech się lepiej obeznani w temacie wypowiedzą.

#5 Użytkownik jest niedostępny   markencjusz 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1108
  • Dołączył: Wt, 22 Lip 08

Napisany 02 Styczeń 2019 - 14:28

Jakie by nie bylo to bardziej chodzi o kwestie latwego i masowego przejecia kont. Np. nie ufalbym teraz w "forumowa sprzedaz".

#6 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 02 Styczeń 2019 - 15:06

A wcześniej ufałbyś? ;)
Forum nigdy nie miało szyfrowanego połączenia i nie wygląda, żeby były z tego jakieś większe problemy.

#7 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 5157
  • Dołączył: Wed, 23 Gru 09

Napisany 02 Styczeń 2019 - 19:00

Problemy wizerunkowe. Dla forum dużego portalu IT - według mnie są poważnymi problemami.

#8 Użytkownik jest niedostępny   jagular 

  • Złote, a skromne
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 34164
  • Dołączył: Nd, 19 Lis 06

Napisany 02 Styczeń 2019 - 19:49

Dla kogo? :E

#9 Użytkownik jest niedostępny   markencjusz 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1108
  • Dołączył: Wt, 22 Lip 08

Napisany 03 Styczeń 2019 - 06:40

Zobacz postBono[UG], o 02 Styczeń 2019 - 15:06, napisał(a):

A wcześniej ufałbyś? ;)
Forum nigdy nie miało szyfrowanego połączenia i nie wygląda, żeby były z tego jakieś większe problemy.


Ja tylko sprzedaję. ;)
Nie zauważyłem tego wcześniej, możliwe że przeglądarki zaczęły informować o tym w bardziej wyraźny sposób. IMO dziwna sytuacja, szyfrowanie połączenia to dziś standard nawet dla strony z firankami, a co dopiero dla dużego forum portalu technologicznego. Sprawia przez to wrażenie porzuconego i zaniedbanego.

#10 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 03 Styczeń 2019 - 09:27

Nie sprawia wrażenia, ono takie jest :(

#11 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 5157
  • Dołączył: Wed, 23 Gru 09

Napisany 03 Styczeń 2019 - 13:29

Zobacz postjagular, o 02 Styczeń 2019 - 19:49, napisał(a):

Dla kogo? :E


Rigel faken Springer. Co jak co ale ktoś tam się musi zajmować sprawami wizerunkowymi. A posiadanie w 2019 roku portalu z pół minionem użytkowników bez nawet podstawowego szyfrowania - moim zdaniem jest sprawą z zakresu bezpieczeństwa, ale też wizerunku.

#12 Użytkownik jest niedostępny   Stjepan 

  • Hostis humani generis
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 11370
  • Dołączył: Wed, 10 Maj 06

Napisany 03 Styczeń 2019 - 14:20

Tak btw newsmani chyba jeszcze mają kaca po sylwestrze, wczoraj 0 newsów, dzisiaj ledwo 2 i 0 o nowych Ryzenach serii 3xxx gdzie na innych portalach już wczoraj była o tym mowa.

#13 Użytkownik jest niedostępny   jagular 

  • Złote, a skromne
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 34164
  • Dołączył: Nd, 19 Lis 06

Napisany 03 Styczeń 2019 - 14:22

Primosku, who gives a f***?
Czy tzw. opinia publiczna wie i się interesuje, że jakiś tam portal komputerowy nie ma kłódeczki przy logowaniu?
Wpływa to na kursy akcji?
Jakieś straty (na chwilę obecną :>) z tego powodu?

Kiedyś (?) to może wszystko jeb**e z powodu wieku silnika i ogólnego niedopieszczenia wszystkiego. Jakiś chakier uruchomi skrypta i się posypie lolek.
Ale jakie to straty przyniesie? Takie realne, nie związane z marudzeniem nas kilku, 0.1% zarejestrowanych użytkowników? :)

Wizerunek? Panie. To jest portal wszystkomający AD2019. Tu jest tyle godności i dbania o wizerunek, co w artykułach w Fakcie o odpędzaniu ufo czosnkiem ;)

#14 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 380
  • Dołączył: Nd, 14 Wrz 08

Napisany 03 Styczeń 2019 - 20:12

Forum, czy inne strony www same w sobie nie muszą być zabezpieczone przez SSL. Owszem, Google daje od kilku lat bonus do page rank za szyfrowane połączenie dla całej witryny, ale z punktu widzenia bezpieczeństwa zaszyfrowane muszą być tylko HTTP requesty z danymi wrażliwymi. I tutaj HTTP POST z danymi do logowania jest zaszyfrowany. Log z narzędzi developerskich Chrome:

Request URL: https://forum.pclab.pl/index.php?app=core&module=global&section=login&do=process
Request Method: POST

Jak się dobrze przyjrzycie, widać, że na czas logowania jest https i zamknięta kłódka w przeglądarce. Po ułamku sekundy przeglądarka jest przekierowana z powrotem na http. Można też podejrzeć ceryfikat:

Issued by: GeoTrust RSA CA 2018
Expires: Friday, 5 July 2019 at 14:00:00 CEST


EDIT:
Nie bardzo natomiast wiem, czemu po wejściu na https://forum.pclab....l&section=login w Chrome pojawia się kłódka, a po chwili znika. Możliwe, że przeglądarka nie uznaje tego certyfikatu za wiarygodny. // strzał okazał się trafny - szczegóły w EDIT2 // Wtedy połączenie i tak jest szyfrowane, ale Chrome nie ufa samej stronie www. Czyli samego połączenia nie da się podsłuchać (tzn da, ale jest szyfrowane), ale Chrome nie ufa stronie, że jej oprogramowanie nie wykrada haseł. FireFox natomiast cały czas wyświetla kłódeczkę na stronie logowania. Nie pamiętam, czy zmieniałem domyślne ustawienia swojego Chrome, ale przeglądarki zawsze mają jakieś certyfikaty domyślnie jako zaufane i można do tej listy dodać kolejne.

EDIT2:
Google pożarło się z GeoTrust (wykupiony przez Symantec) jakiś rok temu za źle przyznane certyfikaty SSL i wywaliło nadane przez nich certyfikaty z listy zaufanych. Stąd brak kłódeczki w Chrome, mimo https przy logowaniu do PCLab.
Źródła:
https://www.theregis...ate_apocalypse/
https://sites.google...ntec-legacy-pki

Ten post był edytowany przez Karister dnia: 04 Styczeń 2019 - 10:09


#15 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 04 Styczeń 2019 - 12:52

A jak ma się sprawa z zapamiętaniem zalogowania w ciastkach, czy ogólnie trzymaniem sesji? Przeglądarka nie wysyła niczego na serwer co umożliwiłoby przejęcie danych logowania lub przynajmniej sesji i podszycie się pod użytkownika?

#16 Użytkownik jest dostępny   amp41 

  • Uzależniony od forum
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 1987
  • Dołączył: Pt, 14 Maj 10

Napisany 04 Styczeń 2019 - 13:27

Problem jaki mam z forum nie dotyczy szyfrowania ale tego że muszę korzystać z VPN bo jak mam wyłączone to albo łączy się długo,albo wcale :)

#17 Użytkownik jest niedostępny   Karister 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 380
  • Dołączył: Nd, 14 Wrz 08

Napisany 04 Styczeń 2019 - 14:29

Zobacz postBono[UG], o 04 Styczeń 2019 - 12:52, napisał(a):

A jak ma się sprawa z zapamiętaniem zalogowania w ciastkach, czy ogólnie trzymaniem sesji? Przeglądarka nie wysyła niczego na serwer co umożliwiłoby przejęcie danych logowania lub przynajmniej sesji i podszycie się pod użytkownika?

Http(s) jest protokołem bezstanowym i nie pozwala zapamiętać czegoś takiego, jak zalogowany użytkownik. Dlatego po zalogowaniu tworzy się na kompie użytkownika ciastko z ID sesji (albo przekazuje go w każdym URL) i jest ono wysyłane wraz z każdym zapytaniem HTTP, żeby serwer mógł sprawdzić, kto to zapytanie wysłał. Są ataki polegające na przechwyceniu czyjejś sesji wymierzone zarówno w oprogramowanie na serwerze (np XSS), jak i samego użytkownika (np CSRF). Na każdy z ataków są rozwiązania i tematykę tę dobrze opisuje OWASP. Wydaje mi się, że gdyby ktoś podejrzał moje zapytania do tego forum, gdy jestem zalogowany, mógłby odczytać ID mojej sesji, bo nie ma https i po stworzeniu tego ciasteczka ręcznie na swoim kompie, byłby mną na czas trwania sesji. Stąd czasem można usłyszeć, żeby używać opcji wyloguj, a nie zamykać zakładkę.

Ten post był edytowany przez Karister dnia: 04 Styczeń 2019 - 14:36


#18 Użytkownik jest niedostępny   PrimoGhost 

  • No One
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 5157
  • Dołączył: Wed, 23 Gru 09

Napisany 04 Styczeń 2019 - 18:50

@jagular

Nie sposób odmówić Ci racji, ale mówimy o dwóch różnych płaszczyznach interesu. Doskonale wiem, jak portal (a zwłaszcza forum jest zaniedbane) ale w przypadku dużej firmy - zwłaszcza zachodniej - jest to co najmniej dziwne. Aktywa, które się nie zwracają, opłacają - wywala się w kosz i tyle. Nie ciągnie się ich za sobą, jak 20 metrowy ogon, który porasta juz mchem.

Przecież to jest śmieszne.

0.1 % użytkowników - oczywiście, że o nasze "dobra" nikt nie dba i ma je gdzieś. Członkom redakcji kradziono treści i też o to nikt nie dbał. A to była poważniejsza sprawa, niż nasze narzekania.

Bardziej chodzi mi o bazę danych użytkowników, która jest spora i wygląda na to, że jest co najmniej słabo chroniona. To jest problem wizerunkowy i jeżeli ktoś go tam w Onecie czy wyżej nie widzi, to jest po prostu głupi. A o rozwiązania nawet nie pytam - usunąć, naprawić, zablokować - każde jest dobre dla ochrony interesu wizerunkowego. Każde - ale nie żadne.

Coś jakby.. Elephant in the room.

Zachodnie firmy mają fioła na tym punkcie. W zeszłym tygodniu przed siedzibą Pvh przy John hicksstraat popruła się jedna z flag Hilfigera. Tak delikatnie, ale było widać. Pół godziny później już to ktoś naprawiał. Śmiałem się i pytałem czemu to takie ważne? Można to po świętach zrobić, skoro i tak nikogo w siedzibie nie będzie?

- no no no no. Reputation...image.

Może zły przykład, ale tak to właśnie działa. Niczego nie zostawia się samemu sobie. Bo może zaszkodzić. Likwiduje się, zamyka, naprawia - ale nie olewa. Właśnie w oparciu o te akcje, słupki, pinionszki....

@ Karister - dasz radę to z ciekawości sprawdzić? Na jednej przeglądarce jedno konto na drugiej drugie? Jak to tak nie działa, to sorry.

Ten post był edytowany przez PrimoGhost dnia: 04 Styczeń 2019 - 18:53


#19 Użytkownik jest niedostępny   Bono[UG] 

  • Wiecznie niewyspany...
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19498
  • Dołączył: Pt, 27 Wrz 02

Napisany 04 Styczeń 2019 - 20:38

W sensie, żeby coś napisać

Post sponsorowany przez główne konto z Firefox.

Ten post był edytowany przez Bono[UG] dnia: 04 Styczeń 2019 - 20:40


#20 Użytkownik jest niedostępny   zekker 

  • Małomówny
  • Pip
  • Grupa: Forumowicze
  • Postów: 1
  • Dołączył: Pn, 18 Lut 13

Napisany 04 Styczeń 2019 - 20:38

z dwóch kont na raz?

Post sponsorowany przez zapasowe konto (kiedyś było mi potrzebne bez uprawnień) z IE.

Ten post był edytowany przez zekker dnia: 04 Styczeń 2019 - 20:39


  • (2 Stron)
  • +
  • 1
  • 2
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych