zendamateur forum onveilig...

Bericht
Auteur
PA2EFR
Berichten: 1403
Lid geworden op: 04 jan 2008, 00:13
Roepletters: PA2EFR
Locatie: JO33HE: Haren Gn.
Contacteer:

Re: zendamateur forum onveilig...

#76 Bericht door PA2EFR »

Gelukkig draai ik ook sites vanaf mijn eigen server, zijnde een Raspberry Pi. :) Ook met Certbot.
Maar ja, je bent altijd aan een ISP gebonden, in mijn geval XS4ALL.
Daar zal ook wel het nodige mis mee zijn.

De veiligste server is die, welke nog ingepakt in bubbeltjesfolie zit. :twisted:

Geen belang
Berichten: 169
Lid geworden op: 30 okt 2017, 14:44

Re: zendamateur forum onveilig...

#77 Bericht door Geen belang »

PA9X schreef:Het is niet voor niets dat browsers tegenwoordig die melding geven. Alles wat je op dit form intypt gaat onversleuteld het internet over. Dat geldt ook voor je gebruikersnaam en wachtwoord wanneer je je hier aanmeldt.
Dit is niet correct, je kan perfect zaken versleuteld sturen via http zonder dat het https is, sterker nog het was in het oorspronkelijke http-digest al voorzien.

https://en.wikipedia.org/wiki/Digest_ac ... entication

Het beste is nog altijd een ander paswoord te gebruiken per website.
Want ook al gebruik je https, als iemand bv je aanlog-cookie weet te stelen kunnen ze evengoed automatisch aanloggen en heb je niet eens naam/pass nodig bij heel veel sites.
Niet overal zo, maar vaak wel. (en zeker niet bij banken!! want die beveiligen veel beter).

Https is helemaal niet nodig voor een forum als deze, overdrijven is ook een vak. :lol:
Ja ik kan zeuren, ja ik zit vaak mis, ja ik leer bij....maar ik kan niet tegen papegaaien die niks kennen!

Bas - ON5HB.

pc1mb
Berichten: 2177
Lid geworden op: 05 sep 2011, 16:30
Roepletters: PC1MB
Locatie: JO22pe

Re: zendamateur forum onveilig...

#78 Bericht door pc1mb »

Gezien dit elders weer opnieuw aan de orde kwam met gauw een slotje erop, verder in de oorspronkelijke draad:

HTTPS is de standaard anno 2020. HTTP, hoewel in principe nog wel geschikt voor niet-kritische toepassingen, is gewoon passé. Wordt echt amper meer gebruikt, behalve voor statische websites die sinds 1995 hetzelfde format gebruiken.

Je kunt het paranoïde noemen en blijven omzeilen, maar uiteindelijk is het een kleine moeite om met je tijd mee te gaan en een groen slotje te verzorgen ipv allerlei waarschuwingen dus waarom niet?

Gebruikersavatar
PA0ETE
Berichten: 4656
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#79 Bericht door PA0ETE »

pc1mb schreef:Gezien dit elders weer opnieuw aan de orde kwam met gauw een slotje erop, verder in de oorspronkelijke draad:

HTTPS is de standaard anno 2020. HTTP, hoewel in principe nog wel geschikt voor niet-kritische toepassingen, is gewoon passé. Wordt echt amper meer gebruikt, behalve voor statische websites die sinds 1995 hetzelfde format gebruiken.

Je kunt het paranoïde noemen en blijven omzeilen, maar uiteindelijk is het een kleine moeite om met je tijd mee te gaan en een groen slotje te verzorgen ipv allerlei waarschuwingen dus waarom niet?
Dan zal ik wat ik eerder aankaartte ook nog maar even opnieuw vragen. De hosting van de inmiddels immense database van het forum gebeurt nu gratis. Ben je bereid om voor die kleine moeite te betalen?

Momenteel is dat de consequentie. De kosten van het forum worden nu door de sponsor van de webruimte en de beheerders gedragen, maar er zijn momenteel voor https extra kosten. Dat is omdat de onze provider momenteel nog geen https voor deze site kan ondersteunen.

In het verleden waren er dan mensen die voorstelden om het forum te verhuizen naar andere gratis webruimte, maar in alle gevallen waren van die gratis aanbiedingen 1. de mogelijkheden (webruimte) bij lange na niet genoeg om het forum gratis te huisvesten, en 2. tegenover die gratis webruimte stonden dan aanzienlijke privacynadelen die veel groter waren dan het kleine nadeel van http: bij deze website. 3. we wisten dan meestal niet of de huisvesting van de site op de lange termijn ook nog gratis zou zijn.

Dit is een site waarop (behalve de persoonlijke berichten) alle informatie openbaar is. En er is nooit een probleem geweest, niet één keer, met het hacken van bijvoorbeeld wachtwoordinformatie.

Dus wat is het probleem waarvoor we veel tijd en daarnaast geld zouden moeten spenderen? Daar komt nog bij dat de huidige provider toegezegd heeft dat we op enige termijn ook bij hen (gratis) over https kunnen beschikken.

Gebruikersavatar
Juul - PE0GJG
Berichten: 2747
Lid geworden op: 11 mei 2007, 20:29
Roepletters: PE0GJG
Locatie: Dronten - Flevoland
Contacteer:

Re: zendamateur forum onveilig...

#80 Bericht door Juul - PE0GJG »

Ja John,

Tegenwoordig roepen mensen van alles en nog wat. Maar als je dan vraagt of ze een bijdrage willen leveren zijn ze niet thuis.
Maar wel op Feesboek hun hele hebben en hou(w)en bloot geven.


Ik heb geen problemen met de huidige situatie, maar zit dan ook niet op Feesboek, wel op QRZ.
"radio Veronica - de zeezender geschiedenis" - http://www.norderney.nl

PE0GJG sinds 1975

Gebruikersavatar
PE2AAB
Moderator
Berichten: 6244
Lid geworden op: 12 apr 2005, 19:06
Roepletters: PE2AAB
Locatie: Aalst - Waalre
Contacteer:

Re: zendamateur forum onveilig...

#81 Bericht door PE2AAB »

pc1mb schreef:....Gezien dit elders weer opnieuw aan de orde kwam met gauw een slotje erop, verder in de oorspronkelijke draad....
De reden van dat slotje was ook precies dit; om het forum niet te vervuilen met meerdere posts over hetzelfde onderwerp; hier verder.
'73 Rick, PE2AAB www.pe2aab.nl

pc1mb
Berichten: 2177
Lid geworden op: 05 sep 2011, 16:30
Roepletters: PC1MB
Locatie: JO22pe

Re: zendamateur forum onveilig...

#82 Bericht door pc1mb »

PA0ETE schreef: Dan zal ik wat ik eerder aankaartte ook nog maar even opnieuw vragen. De hosting van de inmiddels immense database van het forum gebeurt nu gratis. Ben je bereid om voor die kleine moeite te betalen?

Momenteel is dat de consequentie. De kosten van het forum worden nu door de sponsor van de webruimte en de beheerders gedragen, maar er zijn momenteel voor https extra kosten. Dat is omdat de onze provider momenteel nog geen https voor deze site kan ondersteunen.
Je bent natuurlijk gebonden aan wat de hosting partij kan aanbieden, maar HTTPS is gratis, certificaten zijn gratis, en inmiddels hebben meerdere personen aangeboden het extra onderhoud voor hun rekening te nemen: daar voeg ik me graag bij. Gelukkig lees ik verderop dat (wat ik nog niet wist) het al in de pijplijn zit!
PA0ETE schreef:En er is nooit een probleem geweest, niet één keer, met het hacken van bijvoorbeeld wachtwoordinformatie.
Het is maar de vraag of dat de beheerder van dit forum ter ore zou komen. Je zou een gestolen wachtwoord dan eerst moeten traceren naar dit forum. En dan nog - pas als het kalf verdronken is, dempt men de put?
PA0ETE schreef:Daar komt nog bij dat de huidige provider toegezegd heeft dat we op enige termijn ook bij hen (gratis) over https kunnen beschikken.
Kijk, DAN is het (inderdaad kleine!) probleem natuurlijk opgelost! Goed om te horen!
Uiteraard zal ook onze hoster zelf er niet eeuwig aan ontkomen - HTTPS is echt de norm, in 2020.

Noot : ik ben zelf beheerder van een ander forum en ken daarom de kosten en mogelijkheden heel goed. Ook heb ik de kosten (geen gratis hosting) daarvan voor m'n rekening genomen samen met 1 andere beheerder. Ook wij hebben de omzetting naar HTTPS doorgemaakt. De hosting provider rekende er zelf een fors bedrag voor, maar bood wel de mogelijkheid gratis je eigen certificaat te uploaden en dat hebben we dus gedaan.

Beheer je de server zelf dan is het helemaal eenvoudig, een simpele configuratiekwestie en een scriptje van letsencrypt af en toe laten lopen.

Gaat men hier voor kosten met de pet rond (dat is dus gelukkig niet nodig) dan doe ik daar ook graag een duit in, en daar ben ik heus niet de enige in.
De suggestie van Juul PE0GJG dat ik alleen maar klaag en niet bereid ben bij te dragen is dan ook volstrekt onterecht. Maar als dat niet nodig is, is dat natuurlijk nog mooier. Goed bezig!
En uiteraard veel waardering voor het werk van onze beheerders en het ter beschikking stellen van de ruimte. Des te belangrijker is het om die grote database te beschermen door qua beveiliging met onze tijd mee te gaan! Patching en HTTPS zijn helaas geen luxe meer.

Gebruikersavatar
PA0ETE
Berichten: 4656
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#83 Bericht door PA0ETE »

Dat is allemaal goed en wel, maar het is toch het team dat bepaalt of we deze moeite willen doen, omdat we het tenslotte ook moeten uitvoeren en als er kosten zijn betalen. Het forum van een provider verhuizen die ons al 15 jaar lang naar tevredenheid host lijkt helemaal niet nodig.

Er waren eerder inderdaad enkelen die wilden bijdragen.

Ik wil graag met het volgende besluiten, en dan ga ik niet meer dingen schrijven die ik eerder ook al geschreven heb.

Volgens mij is er helemaal geen probleem waarvoor je bij ons op een oplossing aandringt. En wat je voorstelt wordt sowieso binnenkort al mogelijk. (Dat heeft ook al eerder op het forum gestaan). Het tijdstip is nog niet helemaal duidelijk. Eerst moet de server waar het forum nu op draait zijn vervangen.

Gebruikersavatar
PE1PQX
Berichten: 3867
Lid geworden op: 06 jun 2011, 21:51
Roepletters: PE1PQX
Locatie: Emmen (JO32LS)
Contacteer:

Re: zendamateur forum onveilig...

#84 Bericht door PE1PQX »

PA0ETE schreef:
Ik wil graag met het volgende besluiten, en dan ga ik niet meer dingen schrijven die ik eerder ook al geschreven heb.

Volgens mij is er helemaal geen probleem waarvoor je bij ons op een oplossing aandringt. En wat je voorstelt wordt sowieso binnenkort al mogelijk. (Dat heeft ook al eerder op het forum gestaan). Het tijdstip is nog niet helemaal duidelijk. Eerst moet de server waar het forum nu op draait zijn vervangen.
Met andere woorden: aan het SSL certificaat wordt gewerkt, alleen wanneer het geregeld zal zijn is nog niet bekend.
Graag geduld dus mensen!!

(@PA0ETE: dat klopt in het kort toch??)
73', André PE1PQX (Site: http://www.pe1pqx.eu)

"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)

pc1mb
Berichten: 2177
Lid geworden op: 05 sep 2011, 16:30
Roepletters: PC1MB
Locatie: JO22pe

Re: zendamateur forum onveilig...

#85 Bericht door pc1mb »

PA0ETE schreef:Volgens mij is er helemaal geen probleem waarvoor je bij ons op een oplossing aandringt.
Mwa... laten we zeggen dat het probleem nog onzichtbaar is. Browsers laten het op dit moment nog bij kleine waarschuwingsdriehoekjes in plaats van de toegang verder af te schermen, en er zijn nog geen kraakpogingen bekend.
PA0ETE schreef:En wat je voorstelt wordt sowieso binnenkort al mogelijk.
Dat is toch perfect? Heb niet willen impliceren dat er haast bij is ofzo hoor.
Goed bezig en nogmaals - alle support voor wat jullie doen.

Gebruikersavatar
PA0ETE
Berichten: 4656
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#86 Bericht door PA0ETE »

PA0ETE schreef:(@PA0ETE: dat klopt in het kort toch??)
Helemaal.

Gebruikersavatar
PA0ETE
Berichten: 4656
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#87 Bericht door PA0ETE »

pc1mb schreef:
PA0ETE schreef:Volgens mij is er helemaal geen probleem waarvoor je bij ons op een oplossing aandringt.
Mwa... laten we zeggen dat het probleem nog onzichtbaar is. Browsers laten het op dit moment nog bij kleine waarschuwingsdriehoekjes in plaats van de toegang verder af te schermen, en er zijn nog geen kraakpogingen bekend.
PA0ETE schreef:En wat je voorstelt wordt sowieso binnenkort al mogelijk.
Dat is toch perfect? Heb niet willen impliceren dat er haast bij is ofzo hoor.
Goed bezig en nogmaals - alle support voor wat jullie doen.
Dank je!

Ik denk dat er geen geslaagde kraakpogingen op deze manier zijn. Dat is namelijk iets waar we best bovenop zitten, Deden we dat niet dan stond het hele forum vol met reclame. Er is naar mijn weten nog nooit reclame gepost met al bestaande accounts. Uitsluitend met accounts die specifiek voor dat doel zijn aangemaakt. En waar zou een account kraken anders nut voor hebben zonder dat dat iets is, dat bij ons vrijwel direct als iets raars opvalt? Een account kraken en er vervolgens pas lange tijd later wat mee doen is niet zo zinvol. En forumaccounts leveren op de zwarte markt, in tegenstelling tot andere inloggegevens niets op omdat het zo'n klein deel van de "markt" is..

pc1mb
Berichten: 2177
Lid geworden op: 05 sep 2011, 16:30
Roepletters: PC1MB
Locatie: JO22pe

Re: zendamateur forum onveilig...

#88 Bericht door pc1mb »

Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.

Eerder komen dat soort "afgeluisterde" wachtwoorden in een database met e-mailadres/wachtwoord combinaties terecht, die je dan weer mooi op andere sites kunt uitproberen waar misschien meer te halen is dan alleen maar achterlaten van spam. Bv. webwinkels.

PA3CQN
Berichten: 500
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: zendamateur forum onveilig...

#89 Bericht door PA3CQN »

pc1mb schreef:Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.
Je kunt de site wel https maken, maar dat zegt niks over de veiligheid van de site. Die is afhankelijk van de achterliggende infra en de inhoud van de site.
Veel van die hacks lopen ook niet eens over de site zelf, maar gaan via het beheer van een andere site omdat de provider de zaak ( ftp naar webserver ) niet dicht heeft getimmerd. En een onveilige site kan ook gewoon een certificaat hebben dus dat zegt niks.

Het is een groot en volgens mij kwalijk misverstand te denken dat een certificaat gelijk staat aan een veilige website.
Niet voor niets trappen mensen in phishing als ze een perfect nagemaakte site met een slotje zien. Het is ze ingeprent dat een slotje gelijk staat aan veilig.
Dat er dan stiekum een letter teveel in de domeinnaam staat hebben ze dan weer niet door.

Stel dat morgen deze site een certificaat krijgt en ik stuur dan mensen van wie ik het email-adres uit QRZ gehaald heb een mailtje dat ze ivm de beveiliging op
www.zendamateur.com hun email moeten bevestigen ..... hoeveel mail/wachtwoorden denk je dat ik dan kan oogsten?
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

Gebruikersavatar
PA0ETE
Berichten: 4656
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#90 Bericht door PA0ETE »

pc1mb schreef:Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.

Eerder komen dat soort "afgeluisterde" wachtwoorden in een database met e-mailadres/wachtwoord combinaties terecht, die je dan weer mooi op andere sites kunt uitproberen waar misschien meer te halen is dan alleen maar achterlaten van spam. Bv. webwinkels.
Heel vergezocht. Je praat dan over een soort algemene maatschappeljike verantwoordelijkheid om op internet bepaalde lettercombinaties niet onversleuteld te versturen.

Om een e-mailadres/wachtwoordcombinatie kan het hier niet gaan omdat je inlogt met een nickname (bij ons vaak de amateurcall) die in combinatie met het wachwoord verstuurd wordt. Ook een andere forumgebruiker kan niet bij jouw mailadres. Als er een mailtje vanaf het forum verstruurd wordt, dan wordt dat gedaan door een scriptje op de server van het forum zelf, waarbij het scripjte en de inhoud daarvan, inclusief het mailadres niet van buitenaf toegankelijk zijn.

Het is inderdaad sowieso niet verstandig om het wachtwoord van het forum ergens anders te gebruiken. Dat geldt altijd al, maar inderdaad zonder https zijn de risico's dan groter. En om de combinatie roepnaam/wachtwoord op meerdere plaatsen te gebruiken is sowieso uit den boze. Maar dat zijn algemene regels waar iedereen zich aan zou moeten houden.

Als je je wel aan die regels houdt zijn de risico's heel beperkt (en dat nog voor een beperkte tijdsduur vanaf nu...)

Plaats reactie