Thread: https usage
-
26-08-2010, 14:33 #1
https usage
Wanneer moet je https gebruiken?
Moet dit voor een registratie formulier?
Moet dit voor elke pagina na een login?
En sorry voor het vragen, maar waarom? Ok, voor security en veiligheid, maar kan er mij iemand een vb geven van wat er kan misgaan als ik geen https gebruik?no votes
-
-
26-08-2010, 14:47 #2Crew Member
- Registered
- 01/09/02
- Location
- Peutie
- Posts
- 7,664
- iTrader
- 0
- Mentioned
- 4 Post(s)
- Reputation
- 13/105
Kantoor PC -> Kantoor Firewall -> gmail met persoonlijk account.
Zonder HTTPS kan uw server admin op uwe firewall al uw data loggen, het wachtwoord wordt als plain tekst doorgestuurd en alles kan dus in principe onderschept worden.
Met HTTPS wordt alles op uw PC al versleuteld dus kan uw server admin die data wel onderscheppen, maar volledig versleuteld kan die daar niets mee doen.Vanaf nu gaan we verder op BeyondGaming!
In deze thread wordt uitgelegd hoe je jouw account kan migreren.no votes
-
26-08-2010, 15:51 #3
een bekende, grote, internationale website zoals facebook heeft al zijn pagina's in http en niet https? waarom en wanneer moet ik voor mijn website https gebruiken? of gewoon nooit?
thanks voor de uitleg trouwens
no votes
-
26-08-2010, 22:12 #4Member
- Registered
- 17/07/02
- Location
- Sol System
- Posts
- 10,064
- iTrader
- 1 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 27/78
Je moet het nooit doen, maar als je gevoelige informatie wil versturen dan kan je het veel beter wel via https (SSL/TLS) doen, anders kan om 't even wie die informatie onderweg onderscheppen. Een facebookaccount zou ik nu niet echt onder gevoelige informatie plaatsen (nu ja, afhankelijk van wat je er op zet natuurlijk), je kredietkaartgegevens daarentegen... Ik zou alvast nooit mijn kredietkaartnummer invullen op een onbeveiligde pagina
.
PSN: dJeezBE - Delicious bookmarks
Disclaimer: I am currently suffering from severe CSD (Compulsive Sarcasm Disorder). - L'onion fait la farce - Facile largire de alienoPastafarian by choiceno votes
-
26-08-2010, 22:40 #5Member
- Registered
- 11/08/10
- Location
- De Panne
- Posts
- 474
- iTrader
- 1 (100%)
- Mentioned
- 0 Post(s)
Mja, https staat voor hypertext transport protocol safe dusja.
Staat voor het beveiligen van websites door alles versleutelt door te sturen, net zoals bankgegevens dus.
Is nodig voor gevoelige websites. Is eigenlijk niet nodig bij gewone websites want certificaten voor https dus voor de safe secure language (SSL) kosten redelijk wat geld hoor. Gebruik het als je bv. iets wilt verkopen via je website online en daarbij een banktransfer laat uitvoeren op je site met bv paypal enz.no votes
-
26-08-2010, 22:52 #6Approved 9-lifer
- Registered
- 08/12/05
- Location
- malle
- Posts
- 560
- iTrader
- 17 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 0/14
SSL staat wel voor Secure Sockets Layer, niet Safe Secure Language.
Signatures zijn overrated!!no votes
-
27-08-2010, 08:29 #7Member
- Registered
- 29/08/09
- Location
- Antwerpen
- Posts
- 1,705
- iTrader
- 18 (95%)
- Mentioned
- 0 Post(s)
- Reputation
- 2/26
no votes
-
27-08-2010, 10:15 #8Member
- Registered
- 08/11/04
- Location
- Antwerpen
- Posts
- 1,478
- iTrader
- 0
- Mentioned
- 0 Post(s)
- Reputation
- 0/1
Zijn er mogelijkheden om dit zonder kosten te implementeren?
(StartCom Free SSL Certification Authority bv?)no votes
-
27-08-2010, 10:40 #9Verwarmingselement
- Registered
- 01/07/02
- Location
- Brussel
- Posts
- 3,810
- iTrader
- 14 (100%)
- Mentioned
- 1 Post(s)
- Reputation
- 0/22
Je kan zelfs je eigen CA starten, zit in elke Window Server in, op Linux bestaat er ongetwijfeld ook een package voor. Het grote nadeel van die CAs is dat je browser standaard het root certificate er niet van heeft.
I.e., IE, Firefox, Safari etc.. hebben al lange tijd de root certificates van Verisign, Thawte etc. ingebouwd. Als je naar een website gaat die een cert van een van die grote CAs gebruikt, dan krijg je geen security warnings etc.. Gebruik je een eigen cert dan gaat je browser zeggen : this certificate is valid, but the CA is not trusted. Als je dan even het root certificate importeert (i.e. je bevestigt dat je die CA vertrouwt) dan krijg je geen warnings meer. En daar wringt het schoentje, dat klinkt voor thuisgebruikers erg onveilig, zij weten immers niet welke CAs te vertrouwen zijn als ze er niet standaard in zitten. StartCom kende ik niet, maar check zeker ook Welcome to CAcert.org eens, zij zijn aan het proberen om hun root certificate in Firefox te krijgen, maar zijn daar nog altijd niet. Microsoft vraagt bakken geld, wat moeilijk is voor een open project.
Maar in short, al het voorgaande heeft meer te maken met het voorkomen van phishing, een toegevoegd voordeel van certificaten is immers dat je de host uniek kan identificeren. De eigenlijk encryptie is perfect ok zonder een trusted CA.no votes
-
27-08-2010, 11:11 #10Member
- Registered
- 25/08/05
- Posts
- 68
- iTrader
- 0
- Mentioned
- 0 Post(s)
Wanneer data (site, logingegevens,...) via HTTPS doorgestuurd wordt, wordt alles eerst versleuteld op de server of de client, en dan pas doorgestuurd. Door de methodiek van opzet van SSL (waarvan Secure HTTP gebruik maakt) krijg je er gratis en voor niets ook de unieke identificatie van de "andere kant" bij. Meestal is dit maar in één richting (je browser checkt dat je wel degelijk bezig met communiceren met de juiste server), maar het kan in beide richtingen (Tax-on-web werkt grofweg zo; de technische details zijn iets uitgebreider).
Ofwel koop je een certificaat bij een gekende, vertrouwde partij, en gaat het onmiddellijk werken in elke browser, zonder een pop-up te tonen dat het certificaat niet geverifiëerd kan worden (let op, het is niet ongeldig, enkel niet controleerbaar); of je maakt je eigen, maar dan moet elke bezoeker een eerste maal het certificaat manueel goedkeuren...Nietskeno votes
-
28-08-2010, 01:03 #11Member
- Registered
- 17/07/02
- Location
- Sol System
- Posts
- 10,064
- iTrader
- 1 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 27/78
Natuurlijk, via een self-signed certificate. Het enige nadeel is dat de eindgebruikers dan nog een extra bevestiging dienen te geven (in de courante browsers), tenzij ze eerst je root certificate installeren natuurlijk. Maar dat is op zich niet onoverkomelijk.
Een andere optie - zoals Radiance al aanhaalde - is CAcert.org, maar ook daar moet je dan eerst het root certificate van installeren. Ik weet niet of die ooit effectief in Firefox zal raken (ik heb al sedert 2005 een account op CAcert.org, buiten de jaarlijkse keysigning sessies op FOSDEM zie ik weinig vooruitgang).
Op Linux gebruik je uiteraard OpenSSL voor je self-signed certificates
.
Creating Certificate Authorities and self-signed SSL certificatesLast edited by dJeez; 28-08-2010 at 01:20.
PSN: dJeezBE - Delicious bookmarks
Disclaimer: I am currently suffering from severe CSD (Compulsive Sarcasm Disorder). - L'onion fait la farce - Facile largire de alienoPastafarian by choiceno votes
-
28-08-2010, 09:20 #12Member
- Registered
- 25/08/05
- Posts
- 68
- iTrader
- 0
- Mentioned
- 0 Post(s)
als je zelf je CA wil beheren, en je vindt al de commando's veel te moeilijk, kijk dan even naar het easy-rsa pakketje dat bij OpenVPN zit - zeer gemakkelijk.
RSA Key ManagementNietskeno votes

