Forumet på HTTPS

Den viktigste fordelen er at passordet ikke er mulig å avlytte når du logger inn. Dessuten er det ikke mulig å avlytte hva du gjør på forumet hvis du, for eksempel, er på ei åpen trådløssone.

For de av oss som har arbeidsgivere med brannvegger som stopper en del ting som de synes vi ikke skal bruke tid på, kan det også være en fordel med kryptert forbindelse for å kunne forumere litt fra jobb.
 
Tommel opp!

Av nysgjerrighet: er det noen grunn til at dere ikke tvinger https nå som det er tilgjengelig? Jeg er _veldig_ for https og generelt sett er det jo de som ikke aner hva det betyr som er mest troende til å logge inn via åpent wifi med samme passord som eposten sin, for å sette det på spissen
 
Av nysgjerrighet: er det noen grunn til at dere ikke tvinger https nå som det er tilgjengelig? Jeg er _veldig_ for https og generelt sett er det jo de som ikke aner hva det betyr som er mest troende til å logge inn via åpent wifi med samme passord som eposten sin, for å sette det på spissen

Det er et ekstra lag med kompleksitet, så jeg håper folk kan hjelpe til å teste det. Jeg oppdaget at det ikke fungerte for enkelte Android-versjoner til å begynne med, og det er masse systemer jeg ikke har tilgang til å teste med. Nå begynner riktignok selve https-oppsettet å se riktig ut, men det kan brekke andre ting også.
 
Det er jo sant, og skjønner godt at dere ikke flipper den bryteren med en gang. Men jeg forstår det slik at dere ønsker å tvinge https på sikt?

Uansett. Bra jobba!
 
Det er et ekstra lag med kompleksitet, så jeg håper folk kan hjelpe til å teste det. Jeg oppdaget at det ikke fungerte for enkelte Android-versjoner til å begynne med, og det er masse systemer jeg ikke har tilgang til å teste med. Nå begynner riktignok selve https-oppsettet å se riktig ut, men det kan brekke andre ting også.

Funker gullefint på Android 5.0.1 - tommelopp! :)
 
For de av oss som har arbeidsgivere med brannvegger som stopper en del ting som de synes vi ikke skal bruke tid på, kan det også være en fordel med kryptert forbindelse for å kunne forumere litt fra jobb.

Eg er no litt usikker på om eg ville ha satsa på at dette stemmer alle stader. Det kjem vel an på kva slags brannvegg arbeidsgjevar har. Nokon brannveggar kjører "man-in-the-middle-attack" på trafikk og då hjelper det vel lite med HTTPS..... (vel - det sa ein større brannveggleverandør til meg for eit par år sidan - all trafikk var transparent).

Og har ikkje arbeidsgjevar slik brannmur så vil arbeidsgjevar uansett kunne ha logging av kva tenar det går aktivitet mot frå kva arbeidsstasjon så både volum og tid vil dermed kunne overvåkast. Og det som vert skrive på Norbrygg er vel uansett i 99,9% slikt som tåler dagens lys - så jamvel om det ikkje er HTTPS (som eventuelt berre ville skjula KVA som går av trafikk og for den saks skuld evt. passord om ein ikkje har gjort dette ein gong for alle og klikka av at ein skal ha autoinnlogging (og då går eg ut frå at det ikkje er passord i klartekst som ligg der men ein eller annan cookie som sørger for identifikasjon) så brukar ein altså arbeidstid på "ikkje arbeidsrelaterte ting".


I tillegg vil vel dei fleste som brukar forumet i opne wifi-sonar kanskje ha "autoinnlogging" slått på - det er vel liten grunn til å ikkje ha det på ein bærbar personleg pc. No har ikkje eg sjekka kva cookie som forumet brukar for slik autoidentifisering - men eg går ut frå at det ikkje er brukarnavn og passord i klartekst men anna identifiseringsmekanisme - f.eks. ein GUID eller noko slikt.

Dette er ikkje bankverksemd - det er eit medlemsforum. Https vil stort sett berre føre til meir belastning på tenaren då trafikken må krypterast.
 
Sist redigert:
Sånn helt off topic er kanskje ikke helt urimelig av arbeidsgiver å forvente at folk jobber på jobb???
Kommer an på arbeidsgiver. For en del folk som jobber i staten virker det som det er påkrevd at man gjør minst mulig av det man egentlig skal gjøre, siden det å være effektiv kan føre til nedskjæringer og annet tullball ... (Ja, jeg jobber i staten, og til tider virker det som om holdningen til ledelsen er "Om du ikke gjør noe gjør du iallefall ikke noe galt", så de som ikke gjøre noe på jobb er de som blir best likt.)
 
Eg er no litt usikker på om eg ville ha satsa på at dette stemmer alle stader. Det kjem vel an på kva slags brannvegg arbeidsgjevar har. Nokon brannveggar kjører "man-in-the-middle-attack" på trafikk og då hjelper det vel lite med HTTPS..... (vel - det sa ein større brannveggleverandør til meg for eit par år sidan - all trafikk var transparent).

Med fare for å bli for teknisk... TLS, som er krypteringsprotokollen i bunn for HTTPS, er laget for å hindre at noen som har tilgang til nettverket undervegs kan lese trafikken og sende den videre uten at det er tydelig for brukeren. Den viktigste mekanismen for å hindre det, er sertifikatet som er knyttet til den krypterte nettsida (og som du i de fleste nettlesere kan finne ved å trykke på den grønne hengelåsen). Hos oss skal dette være et utstedt av Comodo til *.norbrygg.no, og laget etter en kontroll av hvem som har tilgang til nettsida.

For at trafikken skal kunne leses av undervegs, et «man in the middle»-angrep, må PCen som du bruker på et eller annet vis overse de advarslene som et slik angrep vanligvis gir. Det normale er at du må installere et såkalt rotsertifikat, som godkjenner at brannveggen kan dekryptere trafikken. I bedrifter som bruker denne typen brannvegger, vil det normalt være gjort av IT-avdelingen.

De fleste brannvegger bruker ikke et slik opplegg, og har ikke tilgang til kryptert trafikk. At det finnes noen situasjoner der sikkerhetsmodellene i HTTPS ikke fungerer optimalt, er uansett ingen grunn til å ikke sikre forumet med de mekanismene som etterhvert anses som helt standard.

Og har ikkje arbeidsgjevar slik brannmur så vil arbeidsgjevar uansett kunne ha logging av kva tenar det går aktivitet mot frå kva arbeidsstasjon så både volum og tid vil dermed kunne overvåkast. Og det som vert skrive på Norbrygg er vel uansett i 99,9% slikt som tåler dagens lys - så jamvel om det ikkje er HTTPS (som eventuelt berre ville skjula KVA som går av trafikk og for den saks skuld evt. passord om ein ikkje har gjort dette ein gong for alle og klikka av at ein skal ha autoinnlogging (og då går eg ut frå at det ikkje er passord i klartekst som ligg der men ein eller annan cookie som sørger for identifikasjon) så brukar ein altså arbeidstid på "ikkje arbeidsrelaterte ting".

Jeg er helt sikker på at min arbeidsgiver slipper gjennom kryptert trafikk til sider som ellers er stoppet. Jeg vet også at de ikke har noen IT-avdeling som er i stand til, eller ønsker, å gjøre den typen overvåkning som du beskriver. Da hadde de ganske sikkert klart å justere innholdsfilteret slik de har lovt at de skal gjøre.

Og jeg er ikke den eneste å min arbeidsplass som kikker innom nettaviser eller privat e-post i løpet av arbeidsdagen.

At informasjonen du legger ut på forumet normalt er offentlig, er uansett ikke noen grunn til å ikke sørge for at det er et normalt sikkerhetsnivå på oppsettet.

I tillegg vil vel dei fleste som brukar forumet i opne wifi-sonar kanskje ha "autoinnlogging" slått på - det er vel liten grunn til å ikkje ha det på ein bærbar personleg pc. No har ikkje eg sjekka kva cookie som forumet brukar for slik autoidentifisering - men eg går ut frå at det ikkje er brukarnavn og passord i klartekst men anna identifiseringsmekanisme - f.eks. ein GUID eller noko slikt.

Det finnes flere angrep som en kryptert forbindelse beskytter mot, men det er ikke noen enkel fiks for alt. Et eksempel kan være å bruke avlyttet informasjon til å logge deg av, og fange opp passordet når du logger inn igjen. Husk også at forumet er basert på veldig standard programvare, som det fint kan finnes automatiserte angrep på, uten at Norbrygg eller våre brukere, som sådan, er noe utpekt mål.

Det er heller ikke bestandig noen avlytter trafikken din, men det er altså ikke noen grunn til å ikke oppdatere forumet og gjøre det mulig å bruke uten å risikere at passord eller annen informasjon kommer på avvege.

Dette er ikkje bankverksemd - det er eit medlemsforum. Https vil stort sett berre føre til meir belastning på tenaren då trafikken må krypterast.

Nei, vi er ikke bankvirksomhet. Hadde vi vært det, så hadde vi måttet ha sikkerhetstiltak som langt overgår noe av det vi har, kommer til å få eller har mulighet til å gjennomføre. Derimot er vi et middels stort nettforum, med mange brukere som bør forvente at vi har helt grunnleggende tiltak på plass for å hindre at personopplysningene deres kommer på avvege.

Kryptering er ikke noen tung oppgave for en server, og belastninga kryptering av trafikken medfører er helt neglisjerbar. Forumet er en middels tung webapplikasjon, med mye databasebruk, og kryptering av trafikken er en dråpe i havet. Se f.eks. http://istlsfastyet.com/ for mer informasjon.
 
I tillegg vil vel dei fleste som brukar forumet i opne wifi-sonar kanskje ha "autoinnlogging" slått på - det er vel liten grunn til å ikkje ha det på ein bærbar personleg pc. No har ikkje eg sjekka kva cookie som forumet brukar for slik autoidentifisering - men eg går ut frå at det ikkje er brukarnavn og passord i klartekst men anna identifiseringsmekanisme - f.eks. ein GUID eller noko slikt.

Dette er ikkje bankverksemd - det er eit medlemsforum. Https vil stort sett berre føre til meir belastning på tenaren då trafikken må krypterast.

...bare fordi jeg føler for å understreke det:

Om jeg og du hadde vært på samme åpne nettverk, og jeg hadde bestemt meg for å overvåke nettverket, så skulle det ikke tatt meg mange sekundene før jeg var innlogget som katla, uavhengig om om du hadde hatt på autoinnlogging eller brukt passord. Cookies blir også kringkastet i klartekst om du opererer over http.
 
Det er jo sant, og skjønner godt at dere ikke flipper den bryteren med en gang. Men jeg forstår det slik at dere ønsker å tvinge https på sikt?
Nå er https standard. For Tapatalk er det fortsatt tilgang via http, i hvert fall inntil videre.
 
Jeg er dataingeniør, kanskje et konsulentoppdrag på gang. Hvilke oppetidskrav ser dere behov for?

Men jeg er ikke av de billigste, skal vi si gratis medlemskap ?

Dere har jo brukbar oppetid, men når dere først er nede kan det jo ta timer før service leverandøren deres eller whatever har fikset problemet. Litt irriterende når du har bruk for kunnskapsdatabasen under brygging....

Jeg betviler at det er hardware som er problemet, vi lever jo ikke i nitti åra heller

Er dataingeniør sjæl. Og oppetiden bør være god nok for en forening som drives på frivillig, ulønnet basis. De som har ansvaret for drift er den jevne hjemmebrygger som har vanlige jobber som de fleste andre (som vil trumfe Norbrygg, av forståelige årsaker). SLA blir derfor nødvendigvis etter best effort-prinsippet.


Sent from my iPhone using Tapatalk
 
Tilbake
Topp