https dla forum

onionforum

New Member
24
0
Proponuję zastanowić się nad przejściem z http na https czyli wprowadzeniem większego bezpieczeństwa na forum. Certyfikaty SSL są tanie a od biedy można wygenerować samemu. Https utrudnia sniffing, co ma szczególne znaczenie dla Waszych starszych kolegów z Tora. Https nie jest ekstrawagancją, wiele forów dyskusyjnych decyduje się na tę opcję. Nie tylko zresztą fora, ale w ogóle strony, na których istnieje konieczność przesyłania poufnych danych, np. loginu i hasła oraz prywatnych wiadomości. Pozdrawiam.
 

kr2y510

konfederata targowicki
12 770
24 700
To nie tak. SSL zapewni tylko bezpieczeństwo haseł na drodze nieszyfrowanej. Skrypt forum nie jest napisany pod kątem bezpieczeństwa a pod katem funkcjonalności (to było głównym kryterium wyboru MyBB). Każdy może się włamać. I jako włamywacz podglądać wszystko co się dzieje, w tym sesje użytkowników.
To trzeba by przenieść całe forum na zaufany housing i przenieść wszystkie posty na własny CMS napisany pod kątem bezpieczeństwa. A nie ma kto tego zrobić. Ale nie ma też na razie takiej potrzeby.
 

Trigger Happy

Mądry tato
Członek Załogi
2 946
957
ok, zgoda, ale chyba onionowi bardziej chodzi o to żeby nie rozsiewać hasła po setkach serwerów na całym świecie, zwłaszcza że cześć z adminów to hackerzy a cześć to służby ... a czasami i jedno i drugie :)
 
OP
OP
onionforum

onionforum

New Member
24
0
Trigger Happy napisał:
ok, zgoda, ale chyba onionowi bardziej chodzi o to żeby nie rozsiewać hasła po setkach serwerów na całym świecie, zwłaszcza że cześć z adminów to hackerzy a cześć to służby ... a czasami i jedno i drugie :)

Trigger dzięki za ten głos. Pisałem właśnie z perspektywy użytkownika Tora. Chodzi o to, żeby żaden węzeł wyjściowy nie mógł przejąć haseł do tego forum czy prywatnych wiadomości. SSL przed tym zabezpiecza. Poza tym jest dobrym standardem nie tylko dla użytkowników cebulki. Rozumiem koncepcje przyjętą dla tego zacnego forum, ale czy naprawdę MyBB nie może współpracować z SSL? Można stworzyć przy logowaniu opcję: "Zaloguj się bezpiecznie". To chyba nie wymaga wielkich zmian a na pewno warte jest przemyślenia.
 

tosiabunio

Grand Master Architect
Członek Załogi
6 980
15 141
Poczytałem. SSL dla MyBB ponoć nie jest specjalną sprawą, trzeba uruchomić SSL na serwerze i przynajmniej przekierować na bezpieczne połączenie stron logowania. Problemem jest zakup certyfikatu (130 PLN/rocznie) i uruchomienie tego tałatajstwa. Możemy rozważyć to, gdy będziemy odnawiać hosting albo go zmieniać koło września.

Update: gdybyśmy zmienili hosting na Site5, to tam certyfikat jest za darmo (taki współdzielony ze wszystkimi). Własne certyfikaty oprócz kosztów tychże zazwyczaj podnoszą koszt hostingu (dedykowany adres IP). Wszystko do rozważenia.
 

NoahWatson

Well-Known Member
1 297
3 200
Sprawa związana z forum, nie wiedziałem gdzie o tym napisać.
Obecnie wersja stabilna Firefoksa ma numerek 22, beta 23. W becie włączono już blokowanie na stronach po httpsie niebezpiecznej treści czyli m.in. skryptów z niezabezpieczonych stron. Na Firefoksie w wersji beta, która stanie się wersją stabilną 6 sierpnia 2013 roku (nie zawsze to co wejdzie do bety jest w pierwszym terminie przechodzi do wersji stabilnej, ale zazwyczaj tak się dzieje), zauważyłem że wszelkie podlinkowane filmy z youtube oraz vimeo się nie wyświetlają w tej wersji przeglądarki - właśnie przez to, że standardowo z youtube skrypty są przesyłane w postaci niezaszyfrowanej. Dla youtube pomaga m.in. dodatek https everywhere, na nim skrypty są automatycznie pobierane poprzez https. Każdy użytkownik może też na lewo w pasku adresu kliknąć na ikonkę tarczy i odblokować skrypty na danej stronie, ale dobrze byłoby mieć natywnie to wsparcie, lepiej by wtedy to forum dla nowiciuszy wyglądało.
https://blog.mozilla.org/security/2013/06/27/mixed-content-blocker-hits-firefox-beta/
https://support.mozilla.org/pl/kb/h...re-affect-my-safety?as=u&utm_source=inproduct

Podobnie sprawa wygląda na Chromium w wersji 30.
 

Rafusss

New Member
1
0
Witam,
Jaki jest powód, ze forum nie obsługuję TLS 1.1 i TLS 1.2?
Z moich informacji wynika, ze SSL 3.0 i TLS 1.0 są niebezpieczne i już dawno temu powinny przestać być używane.
 
Do góry Bottom