Http secure pentru macforum

Salut,

Primul lucru care m-a surprins la forum este accesul prin http în loc de https.
Este vreun motiv pentru care nu a fost activat încă https?
În starea curentă niciun submit nu este sigur, în special cele care implică parola pentru cont, adrese de email.
Cookie-urile de sesiune pot fi ușor hijacked pe un wifi de cafenea și un străin să obțină acces la cont.

Danke!

N-am avut chef să-mi bat capul cu asta :expressionless:

https …

O soluție free și relativ simplu de setat (în special dacă ai acces la shell - vezi și certbot) este Let’s encrypt.

Personal nu am instalat … dar am colegi care-l folosesc masiv - nu pare a fi complicat de instalat și configurat. Dacă vrei să-l setezi și ai nevoie de ajutor dă un semn (citesc, întreb … cu siguranță-i dăm de capăt).

1 Like

Hmm, pare simplu ce am eu de făcut în cazul forumului ăsta. Poate fac o încercare diseară.

1 Like

Hristos a inviat Tudor! Daca vrei sa faci modificari in forum, nu uita zicala batraneasca " Mai binele e dusmanul binelui".
Sincer, nu prea ma prind, ce se intampla daca se fura parola de logare a unui user? Va incepe sa scrie si un neavenit pe forum in numele userului? Nu se fac tranzactii online din cate stiu.

Adevărat a înviat! Da, nici eu nu am considerat până acum o prioritate chestia asta cu https. Dar ar putea fi o vulnerabilitate dacă într-adevăr cineva poate fura de aici parola și adresa de email ale unui user care folosește aceleași date de login pe mai multe situri. De aceea e recomandat să folosim parole unice pentru fiecare site și un manager de parole.

O problema mare ar fi atunci cand cineva ar fura parola la un admin…deci un certificat de criptare chiar este binevenit… :yum:

Salut,

Nu e nevoie de tranzacții online pentru a lua în considerare https.
@maclove, întreabă-l pe cattus dacă i-ar plăcea să aibă contul furat de un bot care și-ar bate joc de forum. Nu mai spun de cel al lui Tudor. Și apoi spam etern către contul de email.
În plus, pe același wifi nici nu e nevoie să fure parola. Dacă 2 device-uri sunt pe același wifi, unul poate folosi unelte foarte simple care din 2 click-uri fură sesiunea de browser (pentru site-ul respectiv) a celuilalt device. În esență au acces la cont fără să știe parola. Imaginează-ți puști care tocmai au descoperit asta și umblă prin cafenele căutând să se distreze. Mă rog, după ce se redeschid :slight_smile:
Prima unealtă ușor de folosit a fost FireSheep, în 2010, care a creat furori. Pe atunci Facebook cripta doar pagina de login. Apoi mai toate site-urile care aveau conturi utilizator au început să folosească https complet.

Mai mult, atacuri gen MITM, pot intercepta trafic http al oricărui site și insera în paginile lui reclame, mineri de bitcoin, butoane care nu aparțin site-ului etc. Toate acestea pot fi și vectori pentru malware. Este motivul pentru toată campania “https everywhere” și de ce chiar site-uri fără login folosesc trafic criptat.
Treaba cu reclamele era/este folosită pe wifi-ul unor hoteluri din ce am citit.

Desigur nu toate site-urile sunt automat țintă. Nu trebuie să fim paranoici, dar sunt lucruri de luat în seamă.

Gata, avem access https!
Merge?

2 Likes

Merge :smile:

Awesome! Looking good, kudos!
Procedura de înregistrare a generat și un job automat de reînnoire a certificatului? Am citit ceva de genul în linkul legat de “Setting up HTTPS…” și am văzut că certificatele Let’s Encrypt expiră la fiecare 90 zile.

Softul forumului ar trebui să verifice și să reînnoiască automat certificatul.

1 Like

Si la mine merge. Bravo Tudor!
In alta ordine de idei, oare ce se intampla cu indexarea Google daca se trece la https? Ca doar e o alta adresa pentru fiecare pagina… E o problema care ne intereseaza si pentru site-ul nostru de firma…

@potato_joe
Ai dreptate, eu sunt mai neglijent la chestiile astea. Dar nici sa ne legam toti prin VPN … Asta ar putea da idei unor hackeri ca ai date importante, deci… la treaba!!!

@maclove Indexarea ar trebui să fie ok. Nu e altă adresă, doar alt protocol, sau, mai bine zis, varianta securizată a aceluiași protocol.

Referitor la celălalt răspuns, nu am intenționat să sune acuzator, scuze.
Cu VPN-ul și hackerii, într-adevăr nu e necesar să ne legăm toți, dar nici nu cred că trebuie să îți faci griji, presupunând că VPN-ul e unul de încredere. La multe companii e politică de securitate dacă lucrezi remote să fii conectat prin VPN-ul firmei. Asta ține mult de accesul la resursele firmei și networking, dar nu te transformă automat în țintă din câte știu. E o practică uzuală.
Pentru utilizatorul comun wifi-urile necunoscuților puteau fi o problemă, dar cu https nu prea mai ai griji. Internetul era ceva mai inocent cu 15 - 20 ani în urmă, dar aici suntem :slight_smile:

@potato_joe
Nu am luta-o de loc acuzator. Nu sunt de principiul sa fiu neglijent, dar nici sa cad in extrema cealalta. Poate ca sunt mai aproape de Tudor, care a spus ca nu s-a gandit (am inteles preocupat) prea mult. Cui i-ar pasa de forumul nostru?..
Multumesc pentru precizarea cu https. Tin minte ca mai demult ma uitasem ce zicea Google si parea tare complicat…
In plus (vezi mai jos linkul) dureaza pana la 6 luni reindexarea completa…
google indexing http changed to https

Bravo, felicitări.

Mda, probabil mai durează puțin până propune Google paginile https înainte de http în rezultate. Dar ele se găsesc din ce văd.
Îmi imaginez că nu ar trebui să conteze pentru că forumul (sau nginx) face automat redirect la https, iar linkurile interne ar trebui să fie relative, nu absolute.