Forum https & verouderde versie

[mudley]

Hai,

Bij inloggen viel het me op dat het forum geen gebruik maakt van encryptie (geen https).
Ik denk dan ook dat het zeer verstandig is om dit aan te passen, gezien alle data onbeveiligd over de lijn gaat (waar onder ook alle gebruikersnamen en wachtwoorden).
Daarnaast is de versie van vbulletin zeer verouderd (en kwetsbaar voor aanvallen).

Hier wat info over VBulletin en https: https://www.vbulletin.com/forum/arti...forum-to-https
Meer info over een gratis ssl certificaat kan je hier vinden: https://letsencrypt.org/

Mocht hulp gewenst zijn, kan je me een berichtje sturen.
Groet,

Mudley

[Teejeemmm]

goeie suggestie wel....

[Sander]

Ik zie weinig toegevoegde waarde voor encryptie, er wordt hier geen persoonlijke data opgeslagen dus met je wachtwoord hier kunnen ze alleen proberen in te loggen hier of op je e-mail adres en ik mag hopen dat je daar niet dezelfde wachtwoorden voor gebruikt, toch? Daarnaast is het alleen maar belastend voor de servert en komt er allerlei gedoe omhoog met mixed-content problemen.


De versie waar we op draaien loopt 1 minimale update achter (4.2.3 vs 4.2.4), zo verouderd is het dus ook allemaal niet.

Wat ik eigenlijk nog aparter vind is dat dit advies moet komen van iemand die er tevens zijn eerste bericht mee plaatst op deze site?

[mudley]

Er is altijd toegevoegde waarde voor encryptie. Een snelle blik laat zien dat er toch redelijk wat persoonlijke data te vinden is; emailadressen, wachtwoorden, socialmedia accounts, kentekens, etc.), genoeg voor het opstellen van een spearphishing mailtje.

De belasting voor de webserver is niet significant te noemen (neem aan dat je de site niet op een raspberry host).
In veel gevallen wordt de site er zelfs sneller van: https://www.keycdn.com/blog/https-performance-overhead/

Maar mijn excuus, dat m'n eerste bericht een advies was... Bedoel het niet rot...

[ChronoworX]

Ik ben het eens met @mudley.

@Sander, ik en waarschijnlijk @mudley weten wel dat je verschillende passwords voor verschillende sites moet gebruiken, maar het is helaas nog zo dat het gros van de mensen het in ieder geval niet toepast:
https://tweakers.net/nieuws/120989/o...n-ouderen.html
http://www.focuson-it.nl/meest-voork...456-en-qwerty/
https://www.security.nl/posting/4873...e+wachtwoorden

Je hebt daardoor een kans op het "stelen" van iemands identiteit met alle gevolgen van dien.
En hoe vaak je wel niet berichten langs ziet komen dat zaken onderschept zijn wegens gebrek aan (juiste) encryptie...
We zijn ondertussen in een tijd aangekomen dat als je ook maar iets met accounts wil doen van je "verwacht wordt" dat je dat over HTTPS doet.

Ook geven sommige browsers tegenwoordig waarschuwingen bij inloggen over HTTP:
notsecure.png

[Sander]

site draait vanaf nu op https via letsencrypt.org.

[Remi66]

Top gedaan.👍

Verstuurd vanaf mijn SM-T800 met Tapatalk Pro

[Nenna]

@Sander
Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over HTTPS, but requested an insecure script 'http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.js'. This request has been blocked; the content must be served over HTTPS.

Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.audiforum.nl/forum/google.php'. This endpoint should be made available over a secure connection.

Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over HTTPS, but requested an insecure script 'http://www.google.com/cse/brand?form=cse-search-box&lang=en'. This request has been blocked; the content must be served over HTTPS.

[Sander]

@Sander
Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over HTTPS, but requested an insecure script 'http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.js'. This request has been blocked; the content must be served over HTTPS.

Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over a secure connection, but contains a form which targets an insecure endpoint 'http://www.audiforum.nl/forum/google.php'. This endpoint should be made available over a secure connection.

Mixed Content: The page at 'https://www.audiforum.nl/forum/forum.php' was loaded over HTTPS, but requested an insecure script 'http://www.google.com/cse/brand?form=cse-search-box&lang=en'. This request has been blocked; the content must be served over HTTPS.

Zou nu opgelost moeten zijn.

[Nenna]

Zou nu opgelost moeten zijn.

Klopt! Ik zie nu alleen nog meldingen over insecure images (bv. http://www.audiforum.nl/forum/images/linkedin.gif), insecure plugin resource (bv. http://www.youtube.com/embed/http://...?v=xxxxxxxxxxx) en
Mixed Content: The page at 'https://www.audiforum.nl/forum/webmaster/vragen-and-suggesties/110573-forum-https-and-verouderde-versie.html#post1789992' was loaded over HTTPS, but requested an insecure script 'http://ad.nl.doubleclick.net/adj/semilo.audiwereld.nl/forum_footer;tile=1;dcopt=ist;sz=468x60,728x90;;or d=xxxxxxxxxxxxx?'. This request has been blocked; the content must be served over HTTPS.(anonymous) @ 110573-forum-https-and-verouderde-versie.html:1916

[ChronoworX]

site draait vanaf nu op https via letsencrypt.org.

Top! 👍