Extra beveiliging in de vorm van een (groen) slotje
- Onderwerp starter Duderuud
- Startdatum
vonketrekker
MF veteraan
Hier geen problemen meer 
Sowieso heeft heel MF die naar een mf/download.php link wijst nu per definitie een http in z'n profielfoto (anders ging het eerst niet werken) en die kun je dus wel straffeloos omjoepen want dat werkt nu integraal ook op https. Bijvoorbeeld user FastEddy:
Huidige link: https://www.motor-forum.nl/media/1254377/full
Werkende link: https://www.motor-forum.nl/media/1254377/full
Dat is één query'tje (zoek in alle users profile pics link naar 'Motor-Forum' en vervang door 'Motor-Forum') die gegarandeerd werkt én je site meer secure maakt.
Verder wil ik het best melden als ik een user zie met een andere (anders dan MF) http link waarbij de https variant ook werkt, die kun je als admin dus ook straffeloos fixen zonder je gebruiker(s) lastig te vallen. Maar het kan zijn dat je dat te veel werk vindt.
Huidige link: https://www.motor-forum.nl/media/1254377/full
Werkende link: https://www.motor-forum.nl/media/1254377/full
Dat is één query'tje (zoek in alle users profile pics link naar 'Motor-Forum' en vervang door 'Motor-Forum') die gegarandeerd werkt én je site meer secure maakt.
Verder wil ik het best melden als ik een user zie met een andere (anders dan MF) http link waarbij de https variant ook werkt, die kun je als admin dus ook straffeloos fixen zonder je gebruiker(s) lastig te vallen. Maar het kan zijn dat je dat te veel werk vindt.
Laatst bewerkt:
Ik blijf erbij dat je prima http in https kunt veranderen in de gehele database en daarna https mag verplichten. Het is natuurlijk niet zoiets als mensen ipv6 door hun strot duwen (wat van mij ook zou mogen, maar dat even terzijde). Er zijn nu ook regelmatig plaatjes die niet meer werken omdat mensen een plaatje bij een hoster hebben staan die ermee is opgehouden / opeens centen wil zien. Dat mijns inziens lage percentage plaatjes dat niet straffeloos van http naar https kan worden omgezet zal echt niet voor problemen gaan zorgen.
Mja, aan de andere kant... kan mij 't schelen dat 't slotje niet groen is.
Mja, aan de andere kant... kan mij 't schelen dat 't slotje niet groen is.
Wat natuurlijk ook gewoon kan is queryen naar alle users met een http
/ avatar link, en dan een dump maken van die user id's en avatar links naar een tab separated file. Dan krijg je bijvoorbeeld:
---------
bouke@ubbie:~$ cat /tmp/http-users
1 bosso http://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg
2 SadBunny http://www.warmplace.ru/docs/sunvox/fm.gif
---------
Let op, bosso's link is dus wel https-able en mijn (vorige) link niet. Maar goed, dat filetje kun je dan door een bash scriptje heentrekken als:
---------
bouke@ubbie:~$ cat /tmp/parsertje.sh
while read -r id nick link;
do
curl "${link}" -s -o /tmp/http-download
curl "${link//httphttps
" -s -o /tmp/https-download
cmp -s /tmp/http-download /tmp/https-download && echo -e "${id}\t${nick}\t${link}\t${link//httphttps" > /tmp/replaceable;
### je kunt natuurlijk ook al errorchecken op de curl exitcode of output maar dit is makkelijker
done < /tmp/http-users
---------
... en dat leidt dan (na waarschijnlijk een nachtje stampen met een paar honderdduizend users, maar okee, daar zijn computers voor
) tot een prachtig lijstje user ids waar je gewoon 'http:' door 'https:' kunt vervangen zonder dat er ergens wat omvalt:
---------
bouke@ubbie:~$ cat /tmp/replaceable
1 bosso http://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg https://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg
---------
En op basis van dat lijstje kun je dus makkelijk een heleboel 'update usertable set avatarlink=<blah>' of zo doen. /edit: of je importeert de results in een temp table en doet dan een <search-replace where id in temptable> of zo, whatever feels right
Mij kan het wel schelen dat het slotje niet groen is Niet heel veel (anders had ik allang niet meer op MF gezeten ), maar genoeg om toch te proberen of er een simpele manier is om in een klap een heleboel laaghangend fruit te plukken 
/ avatar link, en dan een dump maken van die user id's en avatar links naar een tab separated file. Dan krijg je bijvoorbeeld:---------
bouke@ubbie:~$ cat /tmp/http-users
1 bosso http://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg
2 SadBunny http://www.warmplace.ru/docs/sunvox/fm.gif
---------
Let op, bosso's link is dus wel https-able en mijn (vorige) link niet. Maar goed, dat filetje kun je dan door een bash scriptje heentrekken als:
---------
bouke@ubbie:~$ cat /tmp/parsertje.sh
while read -r id nick link;
do
curl "${link}" -s -o /tmp/http-download
curl "${link//http
https" -s -o /tmp/https-downloadcmp -s /tmp/http-download /tmp/https-download && echo -e "${id}\t${nick}\t${link}\t${link//http
https" > /tmp/replaceable;### je kunt natuurlijk ook al errorchecken op de curl exitcode of output maar dit is makkelijker
done < /tmp/http-users
---------
... en dat leidt dan (na waarschijnlijk een nachtje stampen met een paar honderdduizend users, maar okee, daar zijn computers voor
) tot een prachtig lijstje user ids waar je gewoon 'http:' door 'https:' kunt vervangen zonder dat er ergens wat omvalt:---------
bouke@ubbie:~$ cat /tmp/replaceable
1 bosso http://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg https://www.behindthevoiceactors.com/_img/voice_compare/2737.jpg
---------
En op basis van dat lijstje kun je dus makkelijk een heleboel 'update usertable set avatarlink=<blah>' of zo doen. /edit: of je importeert de results in een temp table en doet dan een <search-replace where id in temptable> of zo, whatever feels right
Mij kan het wel schelen dat het slotje niet groen is
Niet heel veel (anders had ik allang niet meer op MF gezeten ), maar genoeg om toch te proberen of er een simpele manier is om in een klap een heleboel laaghangend fruit te plukken
Laatst bewerkt:
Maar, wat is precies het probleem van een niet-groen slotje? Alles werkt toch prima?
Het is geen winkel waar je allerhande gegevens in moet vullen om een product geleverd te krijgen bijvoorbeeld. Dus die ietsjes verlaagde veiligheid. Mwoah. Of zie ik iets doms over het hoofd?
@Duderuud; misschien kunnen we je hier een beetje bij helpen? Zoals je ziet zijn er mensen met ideeën genoeg. Het curl grapje van SadBunny gaat zeker werken. Het kan evt. ook direct in php... of, als jij de computing-power er niet voor over hebt, op een server van een van ons? Je kunt trouwens, als je enkel een lijstje wilt hebben van urls die ook met https nog werken, ook enkel de headers opvragen met curl. Krijg je een status 200 terug dan zit je gebakken.
Ik kan me ook goed voorstellen dat je een beetje simpel wordt van die gasten die denken te weten waar ze over praten hoor
Het is geen winkel waar je allerhande gegevens in moet vullen om een product geleverd te krijgen bijvoorbeeld. Dus die ietsjes verlaagde veiligheid. Mwoah. Of zie ik iets doms over het hoofd?
@Duderuud; misschien kunnen we je hier een beetje bij helpen? Zoals je ziet zijn er mensen met ideeën genoeg. Het curl grapje van SadBunny gaat zeker werken. Het kan evt. ook direct in php... of, als jij de computing-power er niet voor over hebt, op een server van een van ons? Je kunt trouwens, als je enkel een lijstje wilt hebben van urls die ook met https nog werken, ook enkel de headers opvragen met curl. Krijg je een status 200 terug dan zit je gebakken.
Ik kan me ook goed voorstellen dat je een beetje simpel wordt van die gasten die denken te weten waar ze over praten hoor
Laatst bewerkt:
De security winst is inderdaad minimaal. Maar niet nul. En ook minimale security winst is winst. De vraag is wat is het je waard. Headers only zou op zich wel lekker snel zijn, maar then again, het is natuurlijk minder betrouwbaar dan byte compare. En wat php betreft... Ik houd gewoon niet zo van php
Mwoah, ik denk dat een byte compare niet direct nodig is:
Ik ben ook geen groot fan van php, maar het is wel waar dit forum op draait dus dat maakt e.e.a. voor Duderuud misschien gemakkelijker.
Het is redelijk aannemelijk dat een bestand van hetzelfde Content-Type en van hetzelfde formaat wel hetzelfde bestandje zal zijn.
Ik ben ook geen groot fan van php, maar het is wel waar dit forum op draait dus dat maakt e.e.a. voor Duderuud misschien gemakkelijker.
Laatst bewerkt:
- Onderwerp starter
- #61
Eigenlijk wil ik niet teveel meer (laten) sleutelen aan deze oude brakke software. Alle tijd die erin gestoken wordt is eigenlijk zonde omdat Xenforo er aan zit te komen.
Heel binnenkort gaat een designtoko aan de slag met een custom MF-design. Intern testen we er al een tijdje mee, alle data is namelijk al overgezet.
Het enige (grote) wat dan nog moet gebeuren is het overzetten van de Te Koop Motoren functionaliteit.
Heel binnenkort gaat een designtoko aan de slag met een custom MF-design. Intern testen we er al een tijdje mee, alle data is namelijk al overgezet.
Het enige (grote) wat dan nog moet gebeuren is het overzetten van de Te Koop Motoren functionaliteit.
A
Anoniempje177
Guest
Ik zie ook geen groen slotje (op mijn tablet. Op mijn phone en laptop nog niet bekeken).
Maar het begint wèl met https. Dus ik veronderstel dat ik me geen zorgen moet maken?
Ik bedoel maar, kunnen wij gewoon verder posten op MF, zonder dat wij ons ergens iets van moeten aantrekken?
Ik ben mamelijk geen computer/internet kenner, en ben al lang blij dat ik er gewoon gebruik van kan maken
Maar het begint wèl met https. Dus ik veronderstel dat ik me geen zorgen moet maken?
Bij overschakeling van het huidige naar Xenforo, veranderd er dan iets voor ons als users?
Ik bedoel maar, kunnen wij gewoon verder posten op MF, zonder dat wij ons ergens iets van moeten aantrekken?
Ik ben mamelijk geen computer/internet kenner, en ben al lang blij dat ik er gewoon gebruik van kan maken
Laatst bewerkt door een moderator:
Groen slotje zegt dat de content van de site versleuteld bij jou aankomt. Als het slotje niet groen is, is er onversleutelde content, en is de site dus niet veilig, je computer zou gehackt kunnen worden. En je kunt maling hebben aan een groen slotje, maar Google kijkt bij de ranking van je site naar zo'n slotje. Geen groen slotje, dan komt je site achteraan in de zoekresultaten. En MF is een groot forum, je wilt professioneel overkomen, dus heb je een groen slotje nodig. En dat kan veel werk zijn.
A
Anoniempje177
Guest
Ik zie mijn avatar niet meer?
Heeft dat hier iets mee te maken?
Heeft dat hier iets mee te maken?
A
Anoniempje177
Guest
En wat bedoel je met down?Nee. Jouw plaatje staat op tinypic (http
Dat die site opgedoekt is? Of gewoon niet meer werkt?
Ach, ik laat het dan wel effe zo, of neem misschien een vaste afbeelding uit mijn afbeeldingen die ik opgeslagen heb in mijn MF profiel.
Vraag wel in het avatar topic om zo iets nieuws te maken als ik weer een nummerplaat heb, normaal heb ik maandag weer eentje
'ie du't nie. Il ne marche pas. Hij's stuk. Kaput. Broken.
Waardoor dat komt is de vraag, maar ik kan zo snel niets vinden over grote veranderingen bij de site (qua opdoeken of voor mijn part qua er niet meer bij mogen vanuit Europa i.v.m. de GDPR of zo), dus ik zou gewoon morgen nog eens kijken. Denk dat ze gewoon serverproblemen hebben of zo.
A
Anoniempje177
Guest
Ah ok
het is omdat het toevallig zowat gelijk liep met dit topic dat ik dacht dat het daar iets mee te maken had.Voorlopig effe een ander afbeeldinkje erin gepleurd, we zien later wel.
Het laten maken van een wisselende avator zal toch, zoals ik al zei, effe moeten wachten op mijn nieuwe nummerplaat
Dat het maar snel maandag is
- Onderwerp starter
- #70
freon
MF veteraan
- 19 dec 2006
- 3.930
- 1.507
Hoe gaat een groen slotje voorkomen dat mijn computer gehackt kan worden?
A
Anoniempje177
Guest
Mijn avatar doet het weer
Niet.
martijn76
Die hard MF'er
Ik kan geen reactie meer plaatsen bij mijn advertentie omdat ik dan naar een onbeveiligde pagina zou gaan.
Wordt dit aangepast of is het wachten op de nieuwe software?
Wordt dit aangepast of is het wachten op de nieuwe software?
maar dat werd ook niet gezegd
Alleen met het slotje (of liever gezegd met versleutelde verbinding met de webserver) heb je een aanvalsvector minder.
