1. Forum Libertarian ma swój regulamin.

https dla forum

Temat na forum 'Forum Libertarian / Polskie Wiki Wolnościowe' rozpoczęty przez onionforum, 14 Czerwiec 2009.

  1. onionforum

    onionforum New Member

    Posty:
    24
    Polubienia:
    0
    Proponuję zastanowić się nad przejściem z http na https czyli wprowadzeniem większego bezpieczeństwa na forum. Certyfikaty SSL są tanie a od biedy można wygenerować samemu. Https utrudnia sniffing, co ma szczególne znaczenie dla Waszych starszych kolegów z Tora. Https nie jest ekstrawagancją, wiele forów dyskusyjnych decyduje się na tę opcję. Nie tylko zresztą fora, ale w ogóle strony, na których istnieje konieczność przesyłania poufnych danych, np. loginu i hasła oraz prywatnych wiadomości. Pozdrawiam.
     
  2. kr2y510

    kr2y510 konfederata targowicki

    Posty:
    11 831
    Polubienia:
    19 458
    To nie tak. SSL zapewni tylko bezpieczeństwo haseł na drodze nieszyfrowanej. Skrypt forum nie jest napisany pod kątem bezpieczeństwa a pod katem funkcjonalności (to było głównym kryterium wyboru MyBB). Każdy może się włamać. I jako włamywacz podglądać wszystko co się dzieje, w tym sesje użytkowników.
    To trzeba by przenieść całe forum na zaufany housing i przenieść wszystkie posty na własny CMS napisany pod kątem bezpieczeństwa. A nie ma kto tego zrobić. Ale nie ma też na razie takiej potrzeby.
     
  3. Trigger Happy

    Trigger Happy Mądry tato Członek Załogi

    Posty:
    2 948
    Polubienia:
    790
    ok, zgoda, ale chyba onionowi bardziej chodzi o to żeby nie rozsiewać hasła po setkach serwerów na całym świecie, zwłaszcza że cześć z adminów to hackerzy a cześć to służby ... a czasami i jedno i drugie :)
     
  4. onionforum

    onionforum New Member

    Posty:
    24
    Polubienia:
    0
    Trigger dzięki za ten głos. Pisałem właśnie z perspektywy użytkownika Tora. Chodzi o to, żeby żaden węzeł wyjściowy nie mógł przejąć haseł do tego forum czy prywatnych wiadomości. SSL przed tym zabezpiecza. Poza tym jest dobrym standardem nie tylko dla użytkowników cebulki. Rozumiem koncepcje przyjętą dla tego zacnego forum, ale czy naprawdę MyBB nie może współpracować z SSL? Można stworzyć przy logowaniu opcję: "Zaloguj się bezpiecznie". To chyba nie wymaga wielkich zmian a na pewno warte jest przemyślenia.
     
  5. Trigger Happy

    Trigger Happy Mądry tato Członek Załogi

    Posty:
    2 948
    Polubienia:
    790
    Onion a możesz zgłębić temat ? dla forum i dla potomnych ? jak to zrobić żeby trybiło, to zrobimy.
     
  6. tosiabunio

    tosiabunio Grand Master Architect Członek Załogi

    Posty:
    6 446
    Polubienia:
    12 607
    Poczytałem. SSL dla MyBB ponoć nie jest specjalną sprawą, trzeba uruchomić SSL na serwerze i przynajmniej przekierować na bezpieczne połączenie stron logowania. Problemem jest zakup certyfikatu (130 PLN/rocznie) i uruchomienie tego tałatajstwa. Możemy rozważyć to, gdy będziemy odnawiać hosting albo go zmieniać koło września.

    Update: gdybyśmy zmienili hosting na Site5, to tam certyfikat jest za darmo (taki współdzielony ze wszystkimi). Własne certyfikaty oprócz kosztów tychże zazwyczaj podnoszą koszt hostingu (dedykowany adres IP). Wszystko do rozważenia.
     
  7. NoahWatson

    NoahWatson The Internet is serious business.

    Posty:
    896
    Polubienia:
    1 895
    Sprawa związana z forum, nie wiedziałem gdzie o tym napisać.
    Obecnie wersja stabilna Firefoksa ma numerek 22, beta 23. W becie włączono już blokowanie na stronach po httpsie niebezpiecznej treści czyli m.in. skryptów z niezabezpieczonych stron. Na Firefoksie w wersji beta, która stanie się wersją stabilną 6 sierpnia 2013 roku (nie zawsze to co wejdzie do bety jest w pierwszym terminie przechodzi do wersji stabilnej, ale zazwyczaj tak się dzieje), zauważyłem że wszelkie podlinkowane filmy z youtube oraz vimeo się nie wyświetlają w tej wersji przeglądarki - właśnie przez to, że standardowo z youtube skrypty są przesyłane w postaci niezaszyfrowanej. Dla youtube pomaga m.in. dodatek https everywhere, na nim skrypty są automatycznie pobierane poprzez https. Każdy użytkownik może też na lewo w pasku adresu kliknąć na ikonkę tarczy i odblokować skrypty na danej stronie, ale dobrze byłoby mieć natywnie to wsparcie, lepiej by wtedy to forum dla nowiciuszy wyglądało.
    https://blog.mozilla.org/security/2013/06/27/mixed-content-blocker-hits-firefox-beta/
    https://support.mozilla.org/pl/kb/h...re-affect-my-safety?as=u&utm_source=inproduct

    Podobnie sprawa wygląda na Chromium w wersji 30.
     
  8. Rafusss

    Rafusss New Member

    Posty:
    1
    Polubienia:
    0
    Witam,
    Jaki jest powód, ze forum nie obsługuję TLS 1.1 i TLS 1.2?
    Z moich informacji wynika, ze SSL 3.0 i TLS 1.0 są niebezpieczne i już dawno temu powinny przestać być używane.
     
  9. tosiabunio

    tosiabunio Grand Master Architect Członek Załogi

    Posty:
    6 446
    Polubienia:
    12 607
    Bo takie obsługuje nasz hosting.
     

Poleć forum

  1. Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.