Bezpieczeństwo naszych kont

[nieznany_miroslaw]

Do administratorów
Czy moglibyście chociaż zabezpieczyć stronę przez SSL? Bez tego wszystke informacje przesyłane i dobierane są widoczne dla wszystkich w lokalnej sieci i providera internetu.
Pozdrawiam
A M

Edit:
Łącznie z hasłem!!!

[Artu]

Do administratorów
Czy moglibyście chociaż zabezpieczyć stronę przez SSL?

To nie są tanie rzeczy

[aikus]

tak myślę i myślę nad tym postem... bo i niby słusznie i naukowo, ale tak właściwie to... PO CO?

Do administratorów
Czy moglibyście chociaż zabezpieczyć stronę przez SSL? Bez tego wszystke informacje przesyłane i dobierane są widoczne dla wszystkich w lokalnej sieci i providera internetu.
Pozdrawiam
A M

Edit:
Łącznie z hasłem!!!

No świetnie, no i co z tego?
Może co prawda być tak, że ktoś używa tego samego hasła do banku i do forum HT.
Jeśli ktoś tak robi, no to cóż - pech peszek.
Głupi jest i czas najwyższy zmądrzeć.

Ale tak poza tym?
Nikt przy zdrowych zmysłach przez forum wrażliwych informacji nie przesyła.
Jeśli ktoś przejmie czyjeś konto (po pierwsze po co miałby to robić?) no to co... narobi bardachy, która zaraz zostanie wyjaśniona, telefon do mirka, konto odzyskane...
... a jak ktoś przejmie konto mirka i wszystkich innych adminów - no to cóż - trzeba będzie zrobić flashbacka, stracić kilka ostatnich dni, ostatnich postów, zaorać wszystko, przywrócić z backupu i członek męski.
Świat się zawali?
Nie-e.


No a SSL ...

Do administratorów
Czy moglibyście chociaż zabezpieczyć stronę przez SSL?

To nie są tanie rzeczy

Otóż właśnie - kosztuje.
Raz - sam cert. Albo ktoś wyskoczy z kasy i kupi kwalifikowany, albo będzie jeszcze gorzej, bo każdy będzie musiał albo dodawać wyjątki bezpieczeństwa do przeglądarki, albo pobierać i instalować certa CA przyjmując na wiarę, że ten jest właściwy, żeby przeglądarka się nie pluła o samopodpisanego certa www.
Czyli albo koszt, albo brzydkość, albo piruet na kutasie, których wielu zniechęci do korzystania z forum, a o to nam nie chodzi.
Mało tego: hosting też może sobie zażyczyć wyższa opłatę za https z resztą słusznie.

Ja wiem, że teraz jest taka moda, że nawet pedałek.pl lata po SSLu, ale po kiego chuja - naprawdę nie wiem.

[Don Mirson]

Generalnie miałem napisać wcześniej to co aikus teraz, tylko inaczej ale nie napisałem.

Za to omawiamy tą kwestię z Wojtkiem i Grześkiem w małych międzyczasowych ratkach i damy znać jak dojdziemy do jakichś konkluzji.

[mwx]

a co jak ktoś nie ma numeru do Mirka?

[MacGyverek]

Aikus bo to wymóg dla lepszego pozycjonowania. Jeśli masz SSL to roboty uważają, że strona jest bezpieczna i lepiej wychodzisz w statystykach na wyszukiwarkach googla. Hostingi często mają funkcję SSLa za free. Wystarczy spytać lub sprawdzić serwer na którym wisi forum. 20min roboty i gotowe.

[mak]

Teraz można już kupić nawet domenę z certyfikatem SSL w cenie, i to takim, którego root jest uwzględniony w standardowych listach zaufanych CA wszystkich współczesnych systemów operacyjnych i przeglądarek. Nie chcę tutaj reklamować konkretnej firmy, ale jeśli Mirek byłby zainteresowany to wie jak mnie zahaczyć .

[aikus]

a co jak ktoś nie ma numeru do Mirka?

Oj przestań - wszystkich nas dzieli nie więcej niż trzy uściski dłoni, jestem o tym przekonany.

Aikus bo to wymóg dla lepszego pozycjonowania. Jeśli masz SSL to roboty uważają, że strona jest bezpieczna i lepiej wychodzisz w statystykach na wyszukiwarkach googla.

To to ja wiem! Właśnie to mnie zastanawia po cholere gugiel wykreował tę modę.
Gogiel, którego produkty i usługi i generalnie całą mentalna polityke lubię i szanuję - tutaj zrobił coś czego kompletnie nie rozumiem.
Dla mnie jest to marnacja prądu.
OK, kto bogatemu zabroni - ale

No ale ... w googlu siedzą ludzie mądrzejsi ode mnie, więc pewnie to ja jestem w błędzie i jakieś zastosowanie to ma.

Hostingi często mają funkcję SSLa za free. Wystarczy spytać lub sprawdzić serwer na którym wisi forum. 20min roboty i gotowe.

No ... też prawda.
Może i można zrobić... zabić to nikogo nie zabije

Teraz można już kupić nawet domenę z certyfikatem SSL w cenie, i to takim, którego root jest uwzględniony w standardowych listach zaufanych CA wszystkich współczesnych systemów operacyjnych i przeglądarek. Nie chcę tutaj reklamować konkretnej firmy, ale jeśli Mirek byłby zainteresowany to wie jak mnie zahaczyć .

E, nie, no weź powiedz ... na czym 77hobby stoi
(serio pytam)

[mak]

E, nie, no weź powiedz ... na czym 77hobby stoi
(serio pytam)

Toż każdy może sobie sam sprawdzić. Wejdź na whois.net, wpisz 77hobby.pl i voila .

To to ja wiem! Właśnie to mnie zastanawia po cholere gugiel wykreował tę modę.
Gogiel, którego produkty i usługi i generalnie całą mentalna polityke lubię i szanuję - tutaj zrobił coś czego kompletnie nie rozumiem.
Dla mnie jest to marnacja prądu.
OK, kto bogatemu zabroni - ale

Nie tylko Google. Teraz stosowanie SSL jest standardem, z którym osobiście się zgadzam. Szyfrowanie SSL nie jest już tak kosztowne jak kiedyś. Moce przerobowe serwerów są niedrogie, są dedykowane układy obliczeniowe, terminatory SSL, etc. Firmy hostingowe to mają i dają w cenie lub za niewielką opłatą. Poza tym szyfrowanie to jedno, a uwierzytelnianie do drugie. Dzięki SSL wiemy też, że dana witryna jest tym, za kogo się podaje (a przynajmniej jest utrudnione podszywanie się, w szczególności masowe). Tutaj niby tylko forum, ale pewnie można by się zdziwić, ile prywatnych informacji jest w profilach, wiadomościach PM, etc. Last but not least RODO i inne takie. Każdy kto przetwarza dane osobowe potencjalnie może znaleźć się na celowniku UODO, z urzędu lub za uprzejmym donosem. Zatem mimo, że przepisy wprost nie regulują wymagań technicznych - mówią o należytym i adekwatnym zabezpieczeniu przetwarzanych danych. Ewentualna dyskusja czy w dzisiejszych czasach stosowanie SSL należy do należytego zabezpieczenia czy nie, mogłaby się potoczyć dosyć przewidywalnie.

Generalnie jak piszesz - kto bogatemu zabroni - może z komentarzem, że już niekoniecznie trzeba być bogatym, żeby skorzystać z dobrodziejstw SSL. Więc czemu nie?

[aikus]

Toż każdy może sobie sam sprawdzić. Wejdź na whois.net, wpisz 77hobby.pl i voila .

No wiem wiem, chciałem, żebyś się przyznał (albo inaczej nie chciało mi się, więc zadałem pytanie, ale potem i tak sprawdziłem )
Akurat whois.net działa tak sobie (przed chwilą sprawdziłem i oczywiście request limit exceeded - jak zwykle).
Stary dobry dns.pl robi robotę.

Nie tylko Google. Teraz stosowanie SSL jest standardem, z którym osobiście się zgadzam. Szyfrowanie SSL nie jest już tak kosztowne jak kiedyś. Moce przerobowe serwerów są niedrogie, są dedykowane układy obliczeniowe, terminatory SSL, etc. Firmy hostingowe to mają i dają w cenie lub za niewielką opłatą. Poza tym szyfrowanie to jedno, a uwierzytelnianie do drugie. Dzięki SSL wiemy też, że dana witryna jest tym, za kogo się podaje (a przynajmniej jest utrudnione podszywanie się, w szczególności masowe). Tutaj niby tylko forum, ale pewnie można by się zdziwić, ile prywatnych informacji jest w profilach, wiadomościach PM, etc. Last but not least RODO i inne takie. Każdy kto przetwarza dane osobowe potencjalnie może znaleźć się na celowniku UODO, z urzędu lub za uprzejmym donosem. Zatem mimo, że przepisy wprost nie regulują wymagań technicznych - mówią o należytym i adekwatnym zabezpieczeniu przetwarzanych danych. Ewentualna dyskusja czy w dzisiejszych czasach stosowanie SSL należy do należytego zabezpieczenia czy nie, mogłaby się potoczyć dosyć przewidywalnie.

Generalnie jak piszesz - kto bogatemu zabroni - może z komentarzem, że już niekoniecznie trzeba być bogatym, żeby skorzystać z dobrodziejstw SSL. Więc czemu nie?

Nie no ... jakichś kategorycznych przeciwwskazań to oczywiście ja tu nie widzę i gdybym stawiał takie forum od zera to pewnie zrobiłbym to na SSLu, oczywiście, że tak.
I oczywiście, że ochrona danych osobowych (które de facto zawiera w sobie ogólne pojęcie "dane wrażliwe") - to, że tak powiem good point, zdarzało się bowiem nie raz wysyłać komuś imie, nazwisko, numer konta, adres, telefon przez PW.

Inna sprawa, że jak nie wyślę przez PW to duża szansa, że wyślę mailem.
I tu sprawa się komplikuje, bo o ile obaj mamy konto w gmailu, albo w interii, albo w onecie, albo w M$, albo gdziekolwiek - no big deal - wszystko leci po SSLu.
Ale jeśli jeden z nas ma tu, a drugi gdzie indziej...?
Nie wiem jak wyglądają statystyki połączeń między serwerami pocztowymi, ale coś mi mówi, że całkiem spory procent lata jeszcze po zwykłym otwartym 25 SMTPie, który można podsłuchać tak samo jak całe to forum - na każdym podrodznym routerze.



Tym nie mniej, nie sądzę, żeby forum w obecnej formie stanowiło jakikolwiek punkt zainteresowania dla UODO - nie nie nie. Dlaczego?
Bo nie jest firmą ani instytucją
I de facto, nie zbiera i nie przechowuje danych osobowych.
Ale pomijając to: dochodzimy tu do spójnego wniosku, że jakby się dało, to lepiej, żeby SSL był.

Pozostaje nadal jedno pytanie: po kiego grzyba ...
... (jak zapytać po angielsku "po kiego grzyba?" ... For what mushroom...)
Po kiego grzyba witryny czysto informacyjne (onet.pl, wp.pl, czy choćby zwłaszcza wspomniany już przeze mnie pudelek.pl) działają po SSLu?
Przecież to takie samo medium, jak radio czy telewizja - wchodze, czytam/oglądam i wychodzę.
Naprawdę istnieje uzasadniona obawa, że ktoś zrobi zhackuje DNSa, podszyje się pod onet i ogłosi całemu światu w jakiej pozycji Mirek lubi najbardziej od tyłu?
Serio?? <czyt. ironicznie>

Nie, nie.
Ja oczywiście wiem.
Statystyki, pozycjonowanie, google.
Szach-mat.
SSL - must have, end of story.
A tutaj - możecie mnie palić na stosie, ale dalej uważam, że jest to zwykłe marnowanie prądu i NIE, nie jest to aspekt pomijalny.

[mak]

Nie no ... jakichś kategorycznych przeciwwskazań to oczywiście ja tu nie widzę i gdybym stawiał takie forum od zera to pewnie zrobiłbym to na SSLu, oczywiście, że tak.
I oczywiście, że ochrona danych osobowych (które de facto zawiera w sobie ogólne pojęcie "dane wrażliwe") - to, że tak powiem good point, zdarzało się bowiem nie raz wysyłać komuś imie, nazwisko, numer konta, adres, telefon przez PW.

Inna sprawa, że jak nie wyślę przez PW to duża szansa, że wyślę mailem.
I tu sprawa się komplikuje, bo o ile obaj mamy konto w gmailu, albo w interii, albo w onecie, albo w M$, albo gdziekolwiek - no big deal - wszystko leci po SSLu.
Ale jeśli jeden z nas ma tu, a drugi gdzie indziej...?
Nie wiem jak wyglądają statystyki połączeń między serwerami pocztowymi, ale coś mi mówi, że całkiem spory procent lata jeszcze po zwykłym otwartym 25 SMTPie, który można podsłuchać tak samo jak całe to forum - na każdym podrodznym routerze.



Tym nie mniej, nie sądzę, żeby forum w obecnej formie stanowiło jakikolwiek punkt zainteresowania dla UODO - nie nie nie. Dlaczego?
Bo nie jest firmą ani instytucją
I de facto, nie zbiera i nie przechowuje danych osobowych.

Chyba jednak conajmniej przechowuje, chociażby te dane, które powysyłałeś w PW . Sam email często jest daną osobową:

https://poradnikprzedsiebiorcy.pl/-adre ... -osobowych

Faktem jest, że nie wiem kto jest formalnym właścicielem forum. Jeśli osoba fizyczna to RODO się chyba nie stosuje, ale specem nie jestem.

Ale pomijając to: dochodzimy tu do spójnego wniosku, że jakby się dało, to lepiej, żeby SSL był.

Pozostaje nadal jedno pytanie: po kiego grzyba ...
... (jak zapytać po angielsku "po kiego grzyba?" ... For what mushroom...)
Po kiego grzyba witryny czysto informacyjne (onet.pl, wp.pl, czy choćby zwłaszcza wspomniany już przeze mnie pudelek.pl) działają po SSLu?
Przecież to takie samo medium, jak radio czy telewizja - wchodze, czytam/oglądam i wychodzę.
Naprawdę istnieje uzasadniona obawa, że ktoś zrobi zhackuje DNSa, podszyje się pod onet i ogłosi całemu światu w jakiej pozycji Mirek lubi najbardziej od tyłu?
Serio?? <czyt. ironicznie>

Nie, nie.
Ja oczywiście wiem.
Statystyki, pozycjonowanie, google.
Szach-mat.
SSL - must have, end of story.
A tutaj - możecie mnie palić na stosie, ale dalej uważam, że jest to zwykłe marnowanie prądu i NIE, nie jest to aspekt pomijalny.

No to się nie zgadzamy i tyle . W sensie zgadzamy się że lepiej, żeby SSL był, ale nie zgadzamy się, że "po jakiego grzyba?" .

Nawet na Pudelku ludzie mają konta, podają swoje dane, pewnie jest tam jakich chat i nie wiem co jeszcze. Przy czym uważam, że akurat funkcja autoryzacyjna SSLa (albo raczej HTTPS) jest ważniejsza niż szyfrowanie. To oczywiście nie niemożliwe, ale żeby podsłuchiwać trzeba zwykle być w odpowiednim miejscu by móc słuchać ruchu. Większość obecnych problemów to phishing i temu podobne techniki, które polegają na podstawianiu stron i wyciąganiu danych, które użytkownik sam podaje. Nie na podsłuchiwaniu ruchu. Zamknięta kłódeczka przy nazwie strony zapewnia jednak jakiś poziom wiarygodności.

Dla mnie używanie SSLa ma sens praktycznie w każdej sytuacji. W najgorszym razie "bo czemu nie?" - prąd? No nie przyjmuję argumentu, choć pewnie można by dyskutować jak ktoś jest eko-ortodoksem. Ja nie jestem. Drogo? już dawno nieprawda. Statystyki, cookies, śledzenie będzie działać bez SSL tak samo. Pozycjonowaniem są zainteresowani raczej właściciele witryn, nie Google. On i tak ma na kim zarobić, bo zawsze ktoś będzie na pierwszych miejscach wyszukiwania i SSL mu tutaj w niczym nie przeszkadza. Google i inne firmy wymuszają SSL, bo to zwiększa bezpieczeństwo, a zatem mniej naraża ich użytkowników na stanie się ofiarami przestępstw, co zawsze pośrednio bije w ich PR. Tyle tylko, że to nic złego - tutaj akurat interesy firm i nasze są zbieżne.

[aikus]

Chyba jednak conajmniej przechowuje, chociażby te dane, które powysyłałeś w PW . Sam email często jest daną osobową:

https://poradnikprzedsiebiorcy.pl/-adre ... -osobowych

Faktem jest, że nie wiem kto jest formalnym właścicielem forum. Jeśli osoba fizyczna to RODO się chyba nie stosuje, ale specem nie jestem.

Ja też nie, ale to co wiem, to że primo jest dokładnie tak jak mówisz: RODO dotyczy tylko firm i instytucji, secundo - nie niesie za sobą absolutnie żadnego zakazu, jedynie obowiązki w tym w szczególności obowiązek informacyjny.
Faktem jest, że jakieś tam dane osobowe znaleźć się mogą - pytanie kto i kogo mógłby pociągnąć do odpowiedzialności inaczej niż osoba fizyczna drugą osobę fizyczną z powództwa cywilnego... ;D
Obstawiam, że powodzenia życzę

No to się nie zgadzamy i tyle . W sensie zgadzamy się że lepiej, żeby SSL był, ale nie zgadzamy się, że "po jakiego grzyba?" .

Nie, po prostu sie nie rozumiemy, ale jedźmy dalej:

Nawet na Pudelku ludzie mają konta, podają swoje dane,

Otóż to - STOP! To już nie jest portal informacyjny.
Portal informacyjny jest to tylko do momentu kiedy wchodzisz na stronę, ewentualnie klikasz w linki i czytasz, oglądasz, słuchasz.
Masz same GETy, nie ma żadnych PUTów.

Jeśli ktoś sobie tam zakłada konto mailowe w buziaczkowej domenie... no to tak jak na HT - pewnie lepiej żeby SSL był.

pewnie jest tam jakich chat i nie wiem co jeszcze. Przy czym uważam, że akurat funkcja autoryzacyjna SSLa (albo raczej HTTPS) jest ważniejsza niż szyfrowanie. To oczywiście nie niemożliwe, ale żeby podsłuchiwać

Oczywiście, oczywiście, fakt, że zastosowanie https podnosi bezpieczeństwo strony pozostaje bezsprzeczny - z tym nie dyskutuję, tak samo jak i z tym, że nie ma 100% gwarancji bezpieczeństwa.

Dla mnie używanie SSLa ma sens praktycznie w każdej sytuacji. W najgorszym razie "bo czemu nie?" - prąd? No nie przyjmuję argumentu, choć pewnie można by dyskutować jak ktoś jest eko-ortodoksem. Ja nie jestem. Drogo? już dawno nieprawda. Statystyki, cookies, śledzenie będzie działać bez SSL tak samo. Pozycjonowaniem są zainteresowani raczej właściciele witryn, nie Google. On i tak ma na kim zarobić, bo zawsze ktoś będzie na pierwszych miejscach wyszukiwania i SSL mu tutaj w niczym nie przeszkadza.

Tak, zgadza się w 100%, z jakiegoś jednak powodu strony które mają SSLa z samego tego faktu są wyżej punktowane.

Google i inne firmy wymuszają SSL, bo to zwiększa bezpieczeństwo, a zatem mniej naraża ich użytkowników na stanie się ofiarami przestępstw, co zawsze pośrednio bije w ich PR. Tyle tylko, że to nic złego - tutaj akurat interesy firm i nasze są zbieżne.

No OK OK OK - wszystko się zgadza.
Nadal nie rozumiem jakie to niebezpieczeństwo czyha na mnie jak wejdę na nieszyfrowany onet, albo pudelka - WYŁĄCZNIE JAKO NA PORTAL INFORMACYJNY.
Poza tym, że padnę ofiarą jakiegoś kawału na przykład albo coś w tym stylu...

[mak]

Żeś się uparł przy tym portalu informacyjnym . Tyle, że ani Onet ani Pudelek to nie tylko portale informacyjne. A nawet czytelnicy Pudelka zasługują na minimum bezpieczeństwa .

Ha, wiem! Nawet jak ktoś tylko czyta Pudelka to może chcieć wiedzieć na pewno, że czyta oryginalnego Pudelka z akuratnymi informacjami o Kardiasziankach czy coś tam . Kłódeczka sprawi, że taki ktoś będzie spał spokojniej...

[Artja]

Znaczy chodzi wam o to, żebyśmy nie musieli po jakimś flejmie czytać na bocznicy ogłoszeń w takim stylu?

[aikus]

Jo, cos w tym stylu. Pedałek.pl

Dobra, konkluzja jest krotka: ssl ma byc i członek męski.

[mwx]

Ktoś musiałby się strasznie nudzić żeby zaatakować forum na którym aktywnie pisze 15 osób i to głównie jakieś dyrdymały absolutnie niezrozumiałe i nieciekawe dla 99.99996% ludzkości

[aikus]

I to jest wlasnie 'po kiego grzyba'

[aikus]

.. ale skad ta 6 na koncu....?

[mak]

Ktoś musiałby się strasznie nudzić żeby zaatakować forum na którym aktywnie pisze 15 osób i to głównie jakieś dyrdymały absolutnie niezrozumiałe i nieciekawe dla 99.99996% ludzkości

Takie forum to najprędzej padnie ofiarą jakiegoś automatycznego ataku na phpBB / PHP / mySQL / Apache, jeśli nie jest aktualizowane albo ma jakieś ewidentne błędy w konfiguracji komponentów pod spodem. Dyskusja dot. SSL rozwinęła się chyba bardziej w stronę Pudelka

[aikus]

Takie forum to najprędzej padnie ofiarą jakiegoś automatycznego ataku na phpBB / PHP / mySQL / Apache, jeśli nie jest aktualizowane albo ma jakieś ewidentne błędy w konfiguracji komponentów pod spodem.

A to prawda, i gdyby to stało na blaszaku u kogoś w domu to aktualizacja binarek w środku to by było coś na co zwracałbym bardzo dużą uwagę.
Nie chodzi o to, co ja stracę jak mi się ktoś włamie na mój serwer, tylko co ten ktoś zrobi korzystając z tego serwera jako z przesiadki.
Natomiast tutaj nie ma tego problemu bo forum jest hostowane ... nie wiem na jakimś homie czy na właśnie na nazwie i nie jest to v-host, więc aktualizacja binarek nas grzeje, bo jest po stronie providera hostingu.
Jedyne czego trzeba jakoś tam przypilnować to aktualizacja silnika forum...