zendamateur forum onveilig...

Bericht
Auteur
Gebruikersavatar
PA0ETE
Berichten: 5689
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#196 Bericht door PA0ETE »

PE0SAT schreef:
Frankyboy schreef: TLSv1.0, TLSv1.1 er uit slopen (zeker 1.0) (httpd server setting)
TLSv1.3 toevoegen haal hem van 2.4.10 af (te laag) en onderdruk het antwoord.
En als we dan toch bezig zijn meteen http 2 activeren, een heerlijke performance boost!
Ja maar zoals ik al zei: dit soort dingen zijn toch ook weer niet zo belangrijk dat iemand het ook maar opvalt als de site wel https is. Ik bedoel dat is niet zoals de TLS-versie die je moet opzoeken, https staat bovenaan iedere pagina...

Gebruikersavatar
elsinga
Moderator
Berichten: 3123
Lid geworden op: 17 mar 2008, 15:05
Roepletters: PC5E
Locatie: Heerenveen (JO22xx)
Contacteer:

Re: zendamateur forum onveilig...

#197 Bericht door elsinga »

Er valt niet veel te zeggen, want het is nog niemand opgevallen dat de route naar het forum een beetje een omweg is. :mrgreen: Je meot toch wat om budgetvriendelijk een HTTPS2HTTP proxy (nou ja, eigenlijk hostname based NAT) te krijgen.

Tracing route to http://www.zendamateur.com [104.218.160.3]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 10.0.0.1
2 14 ms 11 ms 10 ms j1820231.upc-j.chello.nl [24.132.182.231]
3 8 ms 10 ms 8 ms 212.142.56.5
4 17 ms 23 ms 22 ms asd-rc0001-cr101-be107-2.core.as33915.net [213.51.7.70]
5 18 ms 15 ms 16 ms asd-rc0001-cr101-be107-2.core.as33915.net [213.51.7.70]
6 15 ms 16 ms 14 ms nl-ams14a-ri1-ae50-0.aorta.net [213.51.64.58]
7 18 ms 17 ms 14 ms 213.46.182.38
8 175 ms 167 ms 164 ms ae2.cr3-lax2.ip4.gtt.net [89.149.141.125]
9 167 ms 167 ms 167 ms 216.221.157.138
10 174 ms 172 ms 169 ms 192.254.81.59
11 176 ms 174 ms 173 ms te-2-0-7.cr2.lax2.us.zenlayer.net [192.254.81.157]
12 159 ms 159 ms 157 ms 104.218.160.3 協哥火腿

Maar vanaf daar loopt dus een SSL tunnel naar het forum. Enige nadeel is dat de NAT provider het HTTP verkeer kan inkijken, maar voorheen kon het hele internet dat. En dus nu al vooruitgang! :wink:

Wachten is op de definitieve oplossing. Real Soon Now!
www.PC5E.nl, Robert Elsinga, communicatie enthousiasteling, zendamateur (PC5E/WC5E/SP20EJ), scannerluisteraar, lokaal/regionaal/nationaal/internationaal scout, IT Security Expert
Icom IC7300, Icom IC-7000, X50N (14m asl), Diamond WD330S (sloper, 6-12m asl), Kenwood TH-F7E, 2x Anytone AT-D578UV (base, mobile), 3x Anytone AT-D878UV, MMVDM duplex hotspot, 20x Baofeng BF888S.
Op mijn site o.a. Examenuitwerking N/F, Scannerfrequenties NL e.o, Beginnen met DMR, DMR codeplug maken

Frankyboy
Berichten: 240
Lid geworden op: 18 aug 2013, 20:04

Re: zendamateur forum onveilig...

#198 Bericht door Frankyboy »

PA0ETE schreef:
PE0SAT schreef:
Frankyboy schreef: TLSv1.0, TLSv1.1 er uit slopen (zeker 1.0) (httpd server setting)
TLSv1.3 toevoegen haal hem van 2.4.10 af (te laag) en onderdruk het antwoord.
En als we dan toch bezig zijn meteen http 2 activeren, een heerlijke performance boost!
Ja maar zoals ik al zei: dit soort dingen zijn toch ook weer niet zo belangrijk dat iemand het ook maar opvalt als de site wel https is. Ik bedoel dat is niet zoals de TLS-versie die je moet opzoeken, https staat bovenaan iedere pagina...
Klopt dat het mensen niet opvalt maar robots wel :wink:
En hackers gebruiken altijd bots, die gaan echt niet zelf zoeken automatiseren die hap :wink:

Het was meer een tip en die http settings zijn letterlijk 2 minuten werk.
security is en blijft en, en, en, en enz.

Gebruikersavatar
PA0ETE
Berichten: 5689
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#199 Bericht door PA0ETE »

Frankyboy schreef:
PA0ETE schreef:
PE0SAT schreef:
Frankyboy schreef: TLSv1.0, TLSv1.1 er uit slopen (zeker 1.0) (httpd server setting)
TLSv1.3 toevoegen haal hem van 2.4.10 af (te laag) en onderdruk het antwoord.
En als we dan toch bezig zijn meteen http 2 activeren, een heerlijke performance boost!
Ja maar zoals ik al zei: dit soort dingen zijn toch ook weer niet zo belangrijk dat iemand het ook maar opvalt als de site wel https is. Ik bedoel dat is niet zoals de TLS-versie die je moet opzoeken, https staat bovenaan iedere pagina...
Klopt dat het mensen niet opvalt maar robots wel :wink:
En hackers gebruiken altijd bots, die gaan echt niet zelf zoeken automatiseren die hap :wink:

Het was meer een tip en die http settings zijn letterlijk 2 minuten werk.
security is en blijft en, en, en, en enz.
https zo werd gezegd was ook maar twee minuten werk, maar dat was het dus niet. Zie het verhaal van Robert hierboven.

Gebruikersavatar
PA2EFR
Berichten: 1455
Lid geworden op: 04 jan 2008, 00:13
Roepletters: PA2EFR
Locatie: JO33HE: Haren Gn.
Contacteer:

Re: zendamateur forum onveilig...

#200 Bericht door PA2EFR »

Interessant http2.
Kon eerst niet, maar is me nu in 4min. en 25 seconden gelukt om te installeren.

https://http2.pro/check?url=https://pa2efr.nl/

Frankyboy
Berichten: 240
Lid geworden op: 18 aug 2013, 20:04

Re: zendamateur forum onveilig...

#201 Bericht door Frankyboy »

PA0ETE schreef:
https zo werd gezegd was ook maar twee minuten werk, maar dat was het dus niet. Zie het verhaal van Robert hierboven.
Ik heb even een aanname gemaakt dat jullie de apache httpd server zelf beheren?
Bij eigen beheer apache httpd is het zo klaar.

Wanneer jullie gebruik maken van managed hosting en delen met anderen en daar lijkt het op wanneer ik kijk: http://lcars.leviathan.tv/

Dan wordt het verhaal inderdaad anders, ik weet niet welke mogelijkheden toegestaan worden om aan jullie eigen vhost te sleutelen.
Ik neem even aan dat er wel ergens een mogelijkheid is om dingen toe te voegen en/of iets anders te doen maar dat is vaak bij aanbieder anders.

Sowieso lastig dan om die versie te uppen dat zal de eigenaar van de server dan moeten doen.
Ok inderdaad iets meer werk dan 2 minuten. (dedicated server is wel veel duurder, ik begrijp dat dat voor een hobby forum niet een optie is)

De traceroute is bij mij dan wel weer korter, het eerste gedeelte is afhankelijk van je eigen ISP.

Ik vind die van Robert ook apart omdat deze een ander ipadres terug geeft (104.218.160.3) dan degene die ik op zendamateur krijg?
Kan ook zijn dat jullie hoster wisselt van ip.
Non-authoritative answer:
Name: zendamateur.com
Address: 89.163.142.79


Ik vind het aantal hops niet zorgwekkend en de SSL offloading begint op de server (shared in dit geval) daar zou ik me niet meer druk overmaken.
Je moet dan op de server zelf zitten voor onderscheppen en wanneer je daar bent is er veel meer fout en is dat het laatste van je zorgen.

pe1rxq
Berichten: 361
Lid geworden op: 01 mei 2005, 20:54

Re: zendamateur forum onveilig...

#202 Bericht door pe1rxq »

elsinga schreef:Er valt niet veel te zeggen, want het is nog niemand opgevallen dat de route naar het forum een beetje een omweg is.
Dus het antwoord op de vraag 'Hoe gaan de beheerders hier met je gegevens om' is 'We vinden het geen enkel probleem om je paswoord de halve wereld over te sturen voor een geintje'?

Ik zie dat de zendamateur.com inmiddels weer wat dichter bij huis staat? (89.163.142.79)

Gebruikersavatar
PA0ETE
Berichten: 5689
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#203 Bericht door PA0ETE »

Ik vind al dat soort tips altijd zo mooi van twee of vier minuten.

Als je dat vertaalt naar de scheepvaart (vanwege het spreekwoord de beste stuurlui staan aan wal) dan is het alsof de mensen aan de wal adviezen geven over het aanleggen van een cruiseschip en zeggen "met mijn roeibootje zou ik dat zo gefikst hebben."

Zo eenvoudig was het dus niet. Het duurde uiteindelijk drie dagen alles bij elkaar, en er werkten drie mensen aan. (Waarbij er eentje wel het meeste werk deed). Dit ging over het installeren van het laatste certificaat. DIe drie dagen waren tevens de drie dagen dat het forum tijdelijk http werkte. Er is niet voortdurend in die periode aan gewerkt uiteraard, maar met de verschillende stappen die er nodig waren, was dat toch het snelst haalbare.

Ik heb het denk ik wel eens vaker verteld, het forum draait op de server bij een bedrijf waar ook een aantal zaken van klanten op draaien. Vanwege die andere klanten en de bijbehorende beveiligingen zijn dit soort aanpassingen vrij lastig.

Gebruikersavatar
PA0ETE
Berichten: 5689
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#204 Bericht door PA0ETE »

Maar ik ga er niet zoveel woorden meer aan vuii maken. Ik heb gezegd wat erover te zeggen is. En het forum is dus in https beschikbaar.

Ik heb trouwens nog niemand over de tijdelijke oplossing van Robert gehoord. Vragen daarover mag Robert trouwens zelf beantwoorden. Het schijnt heel geavanceerd te zijn.

N.b. ik had mijn post even open laten staan: er is dus wel op gereageerd...

Gebruikersavatar
PE0SAT
Berichten: 734
Lid geworden op: 18 dec 2005, 18:19

Re: zendamateur forum onveilig...

#205 Bericht door PE0SAT »

Call: PE0SAT
Location: JO21
Website: PE0SAT

Frankyboy
Berichten: 240
Lid geworden op: 18 aug 2013, 20:04

Re: zendamateur forum onveilig...

#206 Bericht door Frankyboy »

PA0ETE schreef:Maar ik ga er niet zoveel woorden meer aan vuii maken. Ik heb gezegd wat erover te zeggen is. En het forum is dus in https beschikbaar.

Ik heb trouwens nog niemand over de tijdelijke oplossing van Robert gehoord. Vragen daarover mag Robert trouwens zelf beantwoorden. Het schijnt heel geavanceerd te zijn.

N.b. ik had mijn post even open laten staan: er is dus wel op gereageerd...
Zeker was er op gereageerd, ik was er al achter, shared hosting.
Goedkoop maar daar hangen nadelen aan inderdaad. De apache httpd server wordt gedeeld en dan heb je met andere klanten te maken.
Ander verhaal en zo is goedkoper idd complexer.

Ik mis de tijdelijke oplossing van Robert?
Zo te zien is het certificaat al aanwezig op de shared server?
Ipadres van de shared host is het zelfde als die van zendamateur. Lijkt me ok. en zo hoort het ook ssl off-loading op de shared server.

Het ipadres voor de tunnel in de oplossing van Robert lijkt al weg te zijn?
Of Robert moet iets anders hebben? Volgens mij ziet het er nu gewoon ok uit.

En de andere oplossingen op beveiliging kan idd alleen iom de hoster en andere klanten.

Frankyboy
Berichten: 240
Lid geworden op: 18 aug 2013, 20:04

Re: zendamateur forum onveilig...

#207 Bericht door Frankyboy »

PE0SAT schreef:Bijzonder: https://www.shodan.io/host/89.163.142.79 ...
Ja de httpd server loopt achter maar in geval van shared hosting ben je afhankelijk van de aanbieder en daar kan John niets mee anders dan melden.

Gebruikersavatar
PE0SAT
Berichten: 734
Lid geworden op: 18 dec 2005, 18:19

Re: zendamateur forum onveilig...

#208 Bericht door PE0SAT »

Frankyboy schreef:
Ik mis de tijdelijke oplossing van Robert?
Robert gebruikte de reverse proxy (Cloudflare) oplossing.

client [https] -> proxy[http] -> zendamateur.com
Call: PE0SAT
Location: JO21
Website: PE0SAT

Frankyboy
Berichten: 240
Lid geworden op: 18 aug 2013, 20:04

Re: zendamateur forum onveilig...

#209 Bericht door Frankyboy »

PE0SAT schreef:
Robert gebruikte de reverse proxy (Cloudflare) oplossing.

client [https] -> proxy[http] -> zendamateur.com
Ah maar die is er tussenuit nu zo te zien, sneller dan verwacht :)

Gebruikersavatar
PA0ETE
Berichten: 5689
Lid geworden op: 21 feb 2006, 00:59
Roepletters: PA0ETE
Locatie: Amersfoort
Contacteer:

Re: zendamateur forum onveilig...

#210 Bericht door PA0ETE »

Ik heb het vaker verteld, maar we liften met het forum gratis mee op een server. Dat werkt al die jaren (12 of 13 inmiddels) gewoon goed en bijzonder stabiel. Het is wel eens voorgekomen dat het forum eruit lag, maar welbeschouwd is dat heel zeldzaam. Verder, de database is inmiddels zo groot dat het lastig is om het anders te hosten, en dat is niet bepaald goedkoop.

Iedereen kan wel roepen dat er alternatieven zijn (van in de VS hosten, hosten op een NAS, en er is nog heel heel veel meer de revue gepasseerd.

Maar concluderend: als we verhuizen is dat heel veel werk, en het kan niet anders dan dat het een stuk meer kost dan gratis (er zijn in feite nu alleen kosten voor de domeinnaam en sinds kort voor het certificaat), waarschijnlijk worden problemen en eventuele storingen bij een andere oplossing niet zo snel opgelost als nu, de server staat nu binnen Nederland wat voor een aantal mensen ook van belang is, en zo kan ik nog een tijdje doorgaan. En last but not least: of something isn't broken, you should never fix it.

En ik heb ook vaker gezegd, dat alle goede bedoelingen ten spijt, daar twijfel ik niet aan, maar we gaan de huidige oplossing op dit moment niet veranderen. HTTPS was nodig, daar was ik ook zonder duwtje wel van overtuigd. Nou, dat hebben we ook gedaan in combinatie met wat andere dingen, maar dat is het voor nu. Er is nog inspanning genoeg dat voor dit forum gedaan moet worden.

Het enige minpuntje van de huidige oplossing is, dat met de tijdelijke oplossing waarvan Robert hierboven al een soort beschrijving gaf (die volgens mij ook niet helemaal compleet is), er dus een klein stukje van de verbinding is, waarbij het forumverkeer dus over een afstand onversleuteld wordt overgedragen, en dat is dus momenteel in China of all places. Maar goed dat zal zo'n vaart dus waarschijnlijk wel niet lopen. En bovendien is het waarschijnlijk niet voor meer dan voor een paar maanden en wie in China leest er nou Nederlands...

Plaats reactie