zendamateur forum onveilig...

[PA0ETE]

Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.

Je kunt de site wel https maken, maar dat zegt niks over de veiligheid van de site. Die is afhankelijk van de achterliggende infra en de inhoud van de site.
Veel van die hacks lopen ook niet eens over de site zelf, maar gaan via het beheer van een andere site omdat de provider de zaak ( ftp naar webserver ) niet dicht heeft getimmerd. En een onveilige site kan ook gewoon een certificaat hebben dus dat zegt niks.

Het is een groot en volgens mij kwalijk misverstand te denken dat een certificaat gelijk staat aan een veilige website.
Niet voor niets trappen mensen in phishing als ze een perfect nagemaakte site met een slotje zien. Het is ze ingeprent dat een slotje gelijk staat aan veilig.
Dat er dan stiekum een letter teveel in de domeinnaam staat hebben ze dan weer niet door.

Stel dat morgen deze site een certificaat krijgt en ik stuur dan mensen van wie ik het email-adres uit QRZ gehaald heb een mailtje dat ze ivm de beveiliging op
www.zendamateur.com hun email moeten bevestigen ..... hoeveel mail/wachtwoorden denk je dat ik dan kan oogsten?

De meeste sites zijn tegenwoordig voorzien van een certificaat van Let's encrypt, en daarin zit inherent ook een onveiligheid waardoor de boel te hacken is. Ik weet niet of dat nog zo is, maar in het verleden kreeg je om de paar weken een nieuw (gratis) certificaat, mogeljk is dat nu langer. Er wordt dan meestal een scriptje gebruikt om dat nieuwe certificaat te implementeren. In de tijd dat dat gebeurt werkt de site enige tijd als http, terwijl hij schijnbaar toch beveiligd is doordat je een slotje ziet en https in de URL-regel. En wat erger is: bij een deel van de scriptjes wordt het certificaat(!) ook nog onbeveiligd naar binnen gehaald. Voor mijn eigen sites die wat serieuzer zijn werk ik dus met een eigen certificaat waar ik voor betaal.

[pe1rxq]

En wat erger is: bij een deel van de scriptjes wordt het certificaat(!) ook nog onbeveiligd naar binnen gehaald.

En dat is geen enkel probleem. Het hele idee achter een certificaat is dat de hele wereld het mag zien.
Controleren of het door de juiste entiteit (let's encrypt in dit geval) is getekend en of het wel voor jouw domein is doe je middels cryptografie.

[PA0ETE]

En wat erger is: bij een deel van de scriptjes wordt het certificaat(!) ook nog onbeveiligd naar binnen gehaald.

En dat is geen enkel probleem. Het hele idee achter een certificaat is dat de hele wereld het mag zien.
Controleren of het door de juiste entiteit (let's encrypt in dit geval) is getekend en of het wel voor jouw domein is doe je middels cryptografie.

Dat is inderdaad waar. Daar had ik even niet aan gedacht. (Zoals een hash: als je de hash weet kun je wel checken of het wachtwoord correct is, maar je kunt er niet het wachtwoord mee achterhalen, de zogenaamde hangslot-analogie ).

Dat een site korte tijd bij het wisselen van het certificaat onbeschermd is, is overigens wel waar.

[-----]

Dus een site zonder certificaat is veiliger dan een site met certificaat ?

[pe1rxq]

Nee, een certificaat kan een site veiliger maken, maar hoeveel (kan ook nihil zijn) is afhankelijk van wat voor content je hebt.
Is de site een statisch paginaatje met publiekelijke info? Dan voegt HTTPS (dus met certificaat) maar een beetje toe: dat je zeker weet dat je daadwerkelijk de info van het gewenste domein hebt. Maar is vaak niet de moeite waard.
Is de site dynamisch met veel persoonlijke privacy info? Dan ben je wel gek als je geen HTTPS gebruikt.

Overigens hoeft voor het challenge protocol van lets encrypt de site helemaal niet tijdelijk van HTTPS af.
(Misschien dat sommige halve gare implementaties dat doen...)
Wat moet is dat de challenge via HTTP op te halen is.(Een klein bestandje wat Let's encrypt ophaalt)
Ondertussen mag je site ook gewoon via HTTPS te bereiken zijn.
Je zou (met een beetje handige config) zelfs alleen de challenge URL via HTTP toegankelijk kunnen maken, je forum kun je exclusief via HTTPS bereikbaar maken.

En let's encrypt heeft ook nog andere challenge methodes dan een HTTP url: b.v. via een DNS entry.

[pc1mb]

Je kunt de site wel https maken, maar dat zegt niks over de veiligheid van de site.

Dat lijkt me bekend. Het slotje zegt alleen iets over de verbinding met de site en eventuele luistervinken / omleiders in het midden - "man in the middle" attack.
Inderdaad niets over de site zelf. En geen enkele beveiliging is waterdicht.

[pc1mb]

Dat een site korte tijd bij het wisselen van het certificaat onbeschermd is, is overigens wel waar.

Ook niet. Het nieuwe certificaat wordt ingeladen en geldt vanaf dat moment voor nieuwe verbindingen. Oude worden nog met het oude certificaat afgehandeld en dan afgesloten. Op geen enkel moment worden er HTTP verbindingen toegestaan via de HTTPS poort.

[pc1mb]

Dus een site zonder certificaat is veiliger dan een site met certificaat ?

Dit krijg je er nu van, als je je gelijk gaat halen dat geen enkele beveiliging 100,000000000000% waterdicht is.
Je zegt dingen die kenners al weten, en zaait twijfel bij niet-kenners.

Geen enkele site is 100,00000000% veilig, en dat hoeft ook niet. We zijn geen bank.

Maar alles plaintext de lijn over zodat iedereen over het hele traject je wachtwoord mee kan vissen, is het andere uiterste en niet meer van deze tijd.

[pc1mb]

Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.

Eerder komen dat soort "afgeluisterde" wachtwoorden in een database met e-mailadres/wachtwoord combinaties terecht, die je dan weer mooi op andere sites kunt uitproberen waar misschien meer te halen is dan alleen maar achterlaten van spam. Bv. webwinkels.

Heel vergezocht. Je praat dan over een soort algemene maatschappeljike verantwoordelijkheid om op internet bepaalde lettercombinaties niet onversleuteld te versturen.

Google "password database leak" en zeg nog eens dat het vergezocht is. Dit soort password databases worden dag in dag uit 'brute force' tegen mijn servers aan gegooid in de vorm van inlogpogingen.
Ik heb ze ook wel eens ingekeken, en ook van mij staan er oude wachtwoorden in! Tja, ik heb het ook niet altijd goed gedaan. Dat is toch wel even slikken hoor, om die in zo'n database in kwaadaardige handen terug te zien. Gelukkig nooit misbruikt, dat ik weet.

Ik zal het niet doen, maar goeie kans dat ik jouw mailadres ook wel even op kan zoeken, en je vertellen wat je oude wachtwoorden waren, die je hopelijk sindsdien veranderd hebt

Ik heb gelukkig daar waar mogelijk software op de servers zitten die bij 5 mislukte inlogpogingen het IP-adres in kwestie een uurtje blokkeert, dat vertraagt zo'n boekwerk tot onbruikbaar niveau.
Vulling van zulke databases komt uit complete gekraakte databases, maar ook van spyware die netwerkverbindingen afluistert en alles wat op usernames en wachtwoorden lijkt doorgeeft aan z'n 'bestuurder'. Dat is helaas op grote schaal realiteit.

Ik wilde het niet zo bot stellen, maar nu je dat zo zegt: je kunt inmiddels inderdaad wel spreken van een zekere maatschappelijke verantwoordelijkheid dat login-gegevens niet plaintext de lijn over gaan.

Nogmaals geen haast bij en prima dat het toch al in de pijplijn zit, maar het voegt dus wel wat toe. Het is fijn als jij als beheerder in elk geval de voorwaarden schept, en dat het dan verder aan de gebruiker is om zorgvuldig te zijn. Dat is natuurlijk nooit jouw verantwoordelijkheid.
Bijvoorbeeld wat hierboven geschreven wordt: naast het slotje ook goed op de site-naam letten, en zo hier en daar eens wat wachtwoorden veranderen af en toe. Niet teveel sites met het zelfde wachtwoord, enz enz. We weten het allemaal wel, maar doen we het ook?

[PE9ZZ]

Maar alles plaintext de lijn over zodat iedereen over het hele traject je wachtwoord mee kan vissen, is het andere uiterste en niet meer van deze tijd.

Ik begrijp dat dat nou juist niet gebeurt. Ook niet met een onversleutelde verbinding. Ik verwacht dat als ik met Draadhaai de communicatie ga sniffen bij inloggen ik geen plaintext password zie langskomen.

Bovendien heb je natuurlijk een uniek, sterk wachtwoord voor elke site in je browser opgeslagen. Of het password dat je browser voor je heeft gegenereerd (Firefox).

Tjerk, 9ZZ

[PA0ETE]

Het gebeurt indd eigenlijk nooit dat forumwachtwoorden op deze manier gejat worden alleen maar om spam te posten.

Eerder komen dat soort "afgeluisterde" wachtwoorden in een database met e-mailadres/wachtwoord combinaties terecht, die je dan weer mooi op andere sites kunt uitproberen waar misschien meer te halen is dan alleen maar achterlaten van spam. Bv. webwinkels.

Heel vergezocht. Je praat dan over een soort algemene maatschappeljike verantwoordelijkheid om op internet bepaalde lettercombinaties niet onversleuteld te versturen.

Google "password database leak" en zeg nog eens dat het vergezocht is. Dit soort password databases worden dag in dag uit 'brute force' tegen mijn servers aan gegooid in de vorm van inlogpogingen.
Ik heb ze ook wel eens ingekeken, en ook van mij staan er oude wachtwoorden in! Tja, ik heb het ook niet altijd goed gedaan. Dat is toch wel even slikken hoor, om die in zo'n database in kwaadaardige handen terug te zien. Gelukkig nooit misbruikt, dat ik weet.

Ik zal het niet doen, maar goeie kans dat ik jouw mailadres ook wel even op kan zoeken, en je vertellen wat je oude wachtwoorden waren, die je hopelijk sindsdien veranderd hebt

Ik heb gelukkig daar waar mogelijk software op de servers zitten die bij 5 mislukte inlogpogingen het IP-adres in kwestie een uurtje blokkeert, dat vertraagt zo'n boekwerk tot onbruikbaar niveau.
Vulling van zulke databases komt uit complete gekraakte databases, maar ook van spyware die netwerkverbindingen afluistert en alles wat op usernames en wachtwoorden lijkt doorgeeft aan z'n 'bestuurder'. Dat is helaas op grote schaal realiteit.

Ik wilde het niet zo bot stellen, maar nu je dat zo zegt: je kunt inmiddels inderdaad wel spreken van een zekere maatschappelijke verantwoordelijkheid dat login-gegevens niet plaintext de lijn over gaan.

Nogmaals geen haast bij en prima dat het toch al in de pijplijn zit, maar het voegt dus wel wat toe. Het is fijn als jij als beheerder in elk geval de voorwaarden schept, en dat het dan verder aan de gebruiker is om zorgvuldig te zijn. Dat is natuurlijk nooit jouw verantwoordelijkheid.
Bijvoorbeeld wat hierboven geschreven wordt: naast het slotje ook goed op de site-naam letten, en zo hier en daar eens wat wachtwoorden veranderen af en toe. Niet teveel sites met het zelfde wachtwoord, enz enz. We weten het allemaal wel, maar doen we het ook?

Weet je wat? Ik geef je gewoon gelijk. (Geldt voor alledrie de reacties van hierboven )

[PE1RIK]

Maar alles plaintext de lijn over zodat iedereen over het hele traject je wachtwoord mee kan vissen, is het andere uiterste en niet meer van deze tijd.

Ik begrijp dat dat nou juist niet gebeurt. Ook niet met een onversleutelde verbinding. Ik verwacht dat als ik met Draadhaai de communicatie ga sniffen bij inloggen ik geen plaintext password zie langskomen.

Bovendien heb je natuurlijk een uniek, sterk wachtwoord voor elke site in je browser opgeslagen. Of het password dat je browser voor je heeft gegenereerd (Firefox).

Tjerk, 9ZZ

Meestal onthoud ik me van reacties die niet over radio-techniek gaan, maar hier vond ik toch echt dat ik wat moest aanvullen.

Tjerk, hoe verwacht je dan dat het wachtwoord verzonden wordt?
Ik heb het geprobeerd. Mijn wachtwoord gaat onversleuteld over de lijn. Precies zoals ik het intyp. En daar post ik even geen screenshot van als je het niet erg vindt.

Het wachtwoord van onze beheerders gaat dus ook onversleuteld over de lijn. Bedenk eens wat er kan gebeuren als dat wachtwoord in verkeerde handen valt. Omdat de browser automatisch inlogt terwijl ze op een vreemd netwerk zitten. De persoonsgegevens van ons (namen, roepnamen, emailadressen) zijn, euhh, persoonsgegevens.

[PE9ZZ]

Ik heb het geprobeerd. Mijn wachtwoord gaat onversleuteld over de lijn. Precies zoals ik het intyp

Is dat zo? Nou, dan moet ik ook maar eens Wireshark gaan installeren...

Edit: Asjemenou. Je hebt gelijk. Dat had ik niet verwacht. Maar goed dat het een uniek wachtwoord is.

Tjerk, 9ZZ

[PA0ETE]

OK dan ga ik het forum nu direct afsluiten totdat het is opgelost.
Iedereen akkoord?

[PA0ETE]

Bovenstaande is een grap, maar we kunnen eventueel het forum offline halen als het probleem door veel mensen zo belangrijk gevonden wordt. We kunnen van mensen die bezwaar hebben ook op verzoek hun accountgegevens verwijderen (dat kan overigens altijd al). Bedenk wel dat dit een hobby is. We zijn welwillende amateurs in meerdere opzichten. Er is een oplossing in zicht, maar ik wil de bezwaren ook niet wegwuiven. Misschien is het forum tijdelijk afsluiten of eventueel geheel offline halen inderdaad wel de beste oplossing.