Dat is een constructievere formulering
Je moet het ook in perspectief zetten, in je vorige reactie haal je ook een aantal punten aan die zeker waar zijn, maar het is niet óf-óf maar én-én. In praktisch opzicht is het ook goed om het nu vast te doen, voorkom je dat iedereen in de loop van het jaar een (prominentere) beveiligingsmelding krijgt wanneer de Google's dit (eindelijk eens) gaan invoeren zoals aangekondigd.
Inloggen en registreren op het forum zonder HTTPS
Ik had gekeken op http://www.mountainbike.nl/content/contact om te zien wie ik daarvoor kon benaderen. Het enige adres dat daar stond was van de redactie. Dus daar heb ik, vier dagen geleden, een mailtje naar gestuurd. Toen ik daar geen antwoord op kreeg heb ik een berichtje geplaatst op het forum. Leek me handiger dan een willekeurig persoon of iedereen van http://www.mountainbike.nl/content/crew een bericht te sturen. D'r staan namelijk geen functieomschrijvingen achter de nicknames (site beheerder, moderater, etc)shiverer schreef:Zeker fijn dat je erop wijst! Er zijn maar zeer weinig mensen bewust van hun voorkomen op internet. Maar dat had ook met een persoonlijk bericht gekund natuurlijk
Top! Dank je wel.shiverer schreef:Ik wil het issue zeker niet ontkennen, maar ik wil het wel in perspectief plaatsen. Ik leg het ook zeker bij onze CEO neer hoor, als je dat wat gerust stelt.
-
- Extreme Biker
- Berichten: 514
- Lid geworden op: ma 20 augustus 2012, 13:12
- Mijn mountainbike: Snowdon RP29 MK10
Dat zou inderdaad zo moeten zijn, maar in praktijk gebruiken een hoop mensen toch hetzelfde wachtwoord voor alles. Hun eigen verantwoordelijkheid, maar geen reden om als websitebeheerder niet een kleine handeling uit te voeren om het uitlekken van de wachtwoorden van je gebruikers weer wat lastiger te maken. Ik ben het wel eens met 'inloggen = HTTPS', hoe onbenullig de achterliggende informatie ook is. Two-factor authenticatie op een forum als dit, dat zou overbodig zware beveiliging zijn.shiverer schreef:Dus, wat is er nu zo "privé"? Je e-mailadres versus wachtwoord? Dat is hierboven al aangehaald, we hebben hopelijk niet allemaal overal dezelfde wachtwoorden. Je zou een HTTPS een schijnveiligheid kunnen noemen voor een niet al te interessant probleem. Het probleem is en blijft de gebruiker zelf, die compleet onwetend maar wat op internet kwakt. Je zult er altijd zelf voor moeten zorgen dat je wachtwoorden op orde zijn, en dat je voldoende variatie brengt in je wachtwoorden zodat het verlies van één geen domino effect aan "hacks" oplevert. Dat geldt overigens op IEDERE website, naar mijn bescheiden mening.
Mijn oplossing: LastPass, voor elke website een uniek wachtwoord van zoveel tekens als je wil. Over identiteitsfraude op dit forum maak ik me niet zo'n zorgen en als het wachtwoord onverhoopt onderschept zou worden, kan het nergens anders gebruikt worden.
Bike repair is 95% hex keys and 5% the tool you probably don't have at home.
Snowdon RP29 MK10
Banden kopen?
Snowdon RP29 MK10
Banden kopen?
- Bergbike
- Elite Mountainbiker
- Berichten: 2992
- Lid geworden op: ma 14 november 2011, 22:06
- Mijn mountainbike: Grand Canyon AL SL 6.9 2016, Lego Fully 2.7" 2014
- Contacteer:
Voor elke website een ander wachtwoord... Je wilt niet weten hoe vaak ik wachtwoorden moet resetten omdat ik er weer een # achter had geplaatst i.p.v. de meer gebruikelijke % (hypothetisch voorbeeld).
De weg naar een HTTPS-only web is al een tijdje geleden ingezet en wordt flink gepusht door o.a. Google. Vroeg of laat zullen sites die geen HTTPS gebruiken niet meer door browsers (en in zoekresultaten) weergegeven worden. Je kunt er voor kiezen om dat af te wachten en op te lossen als het zover is, of je kunt het voor zijn.
- kingjoop
- Extreme Biker
- Berichten: 571
- Lid geworden op: zo 4 november 2012, 19:14
- Mijn mountainbike: GT Fury Worldcup 2016, GT Sanction Team 2017, GT Speed Serie 2015, Trek Fuel-EX 8 2013
- Contacteer:
dit is nog wel leuke site voor je: http://www.zeitgeistmovie.com/" onclick="window.open(this.href);return false;guko schreef:Tijdens de registratie werden mij de voorwaarden getoond. Voor zij die ze even niet meer weten omdat ze zich al lang geleden zich geregistreerd hebben, dit zijn ze:shiverer schreef:Vanuit mn werk heb ik ook nogal eens wat met (data)veiligheid te maken. Je kunt het zo spannend maken als je zelf wilt. De vraag is, wat zet het voor zoden aan de dijk?
Nu zit ik in de trein, bieb of koffie tentje met gratis WiFi en ik wil effe wat lezen en posten op het forum van mountainbike.nl. Ik log in, en hoppa m'n gebruikersnaam en wachtwoord gaan in 'clear text' over het draadloze netwerk. Het is een koud kunstje voor andere gebruikers van dat WiFi netwerk dat te sniffen. Prompt worden er onder mijn naam/account kwetsende, obscene, vulgaire, lasterlijke, haatdragende, bedreigende, racistische, seksueel-georiënteerde of andere inhoud gepost die in strijd is met internationale wetten, de wetten van je eigen land of het land waar "Mountainbike.nl" gehost wordt. Allemaal gezeik aan m'n kop over wat ik zogenaamd gepost zou hebben. Jullie vatten het serieus op, waarschuwen m'n internet provider. Weet ik veel wat meer.
om in jouw termen terug te komen.. je kan een full face helm opzetten met goggles en nog kan je als je verkeerd valt een stok in je oogkast krijgen zoals met elke grote drop of double.. vaak ben je te bang je aanmelden op openbare netwerken brengt risico's met zich mee (en je kent ze dus waarom zou je het doen?)... de waarschuwing "aanmelden op deze website via openbaar netwerk is op eigen risico" opnemen in de algemene voorwaarden en het is ook opgelost
M'n speeltjes
===============
GT Fury Worldcup 2016
Trek Fuel EX8 2013
GT Speed series 2015 (BMX)
GT Force 2018
===============
GT Fury Worldcup 2016
Trek Fuel EX8 2013
GT Speed series 2015 (BMX)
GT Force 2018
- Dice Oldskool
- Elite Mountainbiker
- Berichten: 5573
- Lid geworden op: do 20 oktober 2011, 00:04
- Mijn mountainbike: Mondraker Level R
Is dit nu ook de reden dat er om de haverklap paspoorten en vals geld aangeboden worden hier op het forum?
- ThaSingleTrackMastah
- Moderator
- Berichten: 29960
- Lid geworden op: do 19 december 2002, 10:56
- Mijn mountainbike: Heeft een motortje
- Contacteer:
Dat los je met https niet op...Dice Oldskool schreef:Is dit nu ook de reden dat er om de haverklap paspoorten en vals geld aangeboden worden hier op het forum?
Ik voel wel mee met de mensen die dit liever via https zien gebeuren, maar ik ben het technisch met Shiv eens.
Het is maar een forum, het is openbaar, dus gewoon opletten met wat je schrijft.
Wie voor inloggen op het forum hetzelfde wachtwoord en/of gebruikersnaam gebruikt als voor z'n creditcard (om maar iets te noemen) is daaraan zelf schuld.
Overal eenzelfde gebruikersnaam/wachtwoord gebruiken is nooit verstandig.
Verder acht ik de kans velen malen groter dat iemand ongemerkt een trojan op z'n pc heeft, dan dat er iemand de bitjes richting mountainbike.nl gaat afluisteren.
Oftewel, het afluisteren zal hoogstwaarschijnlijk op jouw pc plaatsvinden, niet op de netwerkverbinding naar mountainbike.nl.
Dus hoe veilig is je eigen pc ?
Hoe vaak heb je illegale software gedownload, keygenerators gebruikt enz ?
Niets op het internet is gratis, die tijd is geweest, je betaald altijd.
Een goede trojan of bot verraad zijn aanwezigheid niet.
En vergeet je virusscanner, die baseert zich alleen op ervaring uit het verleden (bekende bedreigingen).
Dus ja, een https site met een goed certificaat stelt de mensen gerust, en nee, het lost niets op.
Some days it's easy, some days it's a fight.
Disclaimer: Spellingscontrole vern#ukt mijn posts. Excuses voor vreemde woorden en afkortingen.
Disclaimer: Spellingscontrole vern#ukt mijn posts. Excuses voor vreemde woorden en afkortingen.
- Bowiex
- Elite Mountainbiker
- Berichten: 3681
- Lid geworden op: di 21 februari 2012, 15:56
- Mijn mountainbike: Loekie 3-wieler
- Contacteer:
Naar ik aanneem zijn trouwens onze wachtwoorden ook niet openbaar voor de beheerders op het forum?
Deze zullen toch niet in een lijst opgeslagen staan? Natuurlijk zullen de gegevens ergens gematcht moeten worden bij inloggen maar dat gebeurd toch niet "lokaal"
Of heb ik het nu mis?
Deze zullen toch niet in een lijst opgeslagen staan? Natuurlijk zullen de gegevens ergens gematcht moeten worden bij inloggen maar dat gebeurd toch niet "lokaal"
Of heb ik het nu mis?
- kingjoop
- Extreme Biker
- Berichten: 571
- Lid geworden op: zo 4 november 2012, 19:14
- Mijn mountainbike: GT Fury Worldcup 2016, GT Sanction Team 2017, GT Speed Serie 2015, Trek Fuel-EX 8 2013
- Contacteer:
wachtwoorden worden op dit platform volgens mij versleuteld (SHA1, MD5 en SALT) opgeslagen.. beheerders kunnen dus alleen een wachtwoord wijzigen.. niet inzien..
M'n speeltjes
===============
GT Fury Worldcup 2016
Trek Fuel EX8 2013
GT Speed series 2015 (BMX)
GT Force 2018
===============
GT Fury Worldcup 2016
Trek Fuel EX8 2013
GT Speed series 2015 (BMX)
GT Force 2018
- ThaSingleTrackMastah
- Moderator
- Berichten: 29960
- Lid geworden op: do 19 december 2002, 10:56
- Mijn mountainbike: Heeft een motortje
- Contacteer:
Een beheerder/moderator heeft jouw wachtwoord niet nodig om jouw bericht te wijzigen.
Daarin vertrouw je ze (of had je daar nog niet aan gedacht?).
Dan kan je dus ook je password wel aan ze toevertrouwen.
Maar wanneer het forum gehackt wordt, dan is het toch wel fijn als er wat data encrypted wordt opgeslagen...
Daarin vertrouw je ze (of had je daar nog niet aan gedacht?).
Dan kan je dus ook je password wel aan ze toevertrouwen.
Maar wanneer het forum gehackt wordt, dan is het toch wel fijn als er wat data encrypted wordt opgeslagen...
Some days it's easy, some days it's a fight.
Disclaimer: Spellingscontrole vern#ukt mijn posts. Excuses voor vreemde woorden en afkortingen.
Disclaimer: Spellingscontrole vern#ukt mijn posts. Excuses voor vreemde woorden en afkortingen.
- azazel
- Mountainbike Junk
- Berichten: 356
- Lid geworden op: zo 13 mei 2012, 17:34
- Mijn mountainbike: Commencal META Power Trail en YT Capra 27,5 CF Pro Race
Wachtwoorden worden ge-hashed opgeslagen. De hashwaarde die berekent is op basis van jou wachtwoord kun je met een brute force attack achterhalen.kingjoop schreef:wachtwoorden worden op dit platform volgens mij versleuteld (SHA1, MD5 en SALT) opgeslagen.. beheerders kunnen dus alleen een wachtwoord wijzigen.. niet inzien..
Afhankelijk van je gekozen wachtwoord (lengte) is dit gemakkelijk of heel moeilijk te achterhalen.
Veel wachtwoorden/hashwaardes zijn ook gewoon te googl'en wanneer de gebruiker een simpel wachtwoord gebruikt als : mountainbike, de hashwaarde waarin dit wachtwoord wordt opgeslagen als men MD5 als algoritme gebruikt is: 6ca2fedda1cea1acddd228661758e142. Copy/paste deze hashwaarde maar eens in google. dus : 6ca2fedda1cea1acddd228661758e142. Wedden dat je het wachtwoord: mountainbike kan achterhalen.
HTTPS beschermt de verbinding tussen de computer waarop je je inloggegevens invoert en de server waar ze uiteindelijk op belanden.
Dit zodat kwaadwillenden die op het netwerk zitten tussen deze twee systemen niet je data kunnen "afluisteren" Het verkeer word namelijk versleuteld verstuurt.
Met HTTP stuur je eigenlijk je inloggegevens die worden uitgewisseld tussen jou computer en de webserver van mountainbike.nl leesbaar over het internet.
Iedereen die deze data onderschept kan deze dus lezen.
De database van dit forum bevat een hele hoop gebruikersnamen en wachtwoorden van de gebruikers van dit forum.
Diegene die toegang heeft tot deze database, heeft dus ook toegang tot circa 75% van de wachtwoorden (eigenlijk toegang tot de hashwaardes die dus in circa 75% van de gevallen gemakkelijk te kraken zijn) hier gebruikt.
Het is dus zaak dat je daarom unieke wachtwoorden en sterke wachtwoorden (lengte is hierbij erg belangrijk!!) gebruikt op de verschillende websites waar je inloggegevens achterlaat.
Of je moet een uitmuntend vertrouwen hebben in diegene met toegang tot de database met inloggegevens.
Dan zou ik overal hetzelfde wachtwoord blijven gebruiken en zo gemakkelijk mogelijk..
Oe... het ging over https niet...
Lekker antwoord van de forum admin ook... dat wekt veel vertrouwen dat de gegevens in veilige handen zijn.
Maar gelukkig is cybersecurity niet zo'n hot topic tegenwoordig en heb ik erg veel moeite om mijn brood te verdienen.http://www.telegraaf.nl/buitenland/2815 ... val__.html
Laatst gewijzigd door azazel op vr 12 mei 2017, 19:40, 4 keer totaal gewijzigd.
The only time that I’m at ease is when I shred the trails between the trees.
- azazel
- Mountainbike Junk
- Berichten: 356
- Lid geworden op: zo 13 mei 2012, 17:34
- Mijn mountainbike: Commencal META Power Trail en YT Capra 27,5 CF Pro Race
Je moet dus echt nooit je wachtwoord afstaan... aan niemand! (dat is namelijk prive)ThaSingleTrackMastah schreef:Een beheerder/moderator heeft jouw wachtwoord niet nodig om jouw bericht te wijzigen.
Daarin vertrouw je ze (of had je daar nog niet aan gedacht?).
Dan kan je dus ook je password wel aan ze toevertrouwen.
Maar wanneer het forum gehackt wordt, dan is het toch wel fijn als er wat data encrypted wordt opgeslagen...
Wachtwoorden worden ge-hashed opgeslagen niet ge-encrypt.
Een hash kun je namelijk niet ontsleutelen, hetgeen je met versleutelde (encrypte) gegevens wel kunt en wat dan weer decrypten word genoemd.
The only time that I’m at ease is when I shred the trails between the trees.
- azazel
- Mountainbike Junk
- Berichten: 356
- Lid geworden op: zo 13 mei 2012, 17:34
- Mijn mountainbike: Commencal META Power Trail en YT Capra 27,5 CF Pro Race
Je wachtwoord dat je zonder https plaintext (leesbaar) over het internet bonjourt bijvoorbeeld.shiverer schreef:Maar realiseer je wat je hier wilt beschermen ("beschermen") met https.
The only time that I’m at ease is when I shred the trails between the trees.
-
- Elite Mountainbiker
- Berichten: 2112
- Lid geworden op: zo 11 september 2011, 10:24
- Mijn mountainbike: staal en tita met een rekje
Moet je dat natuurlijk wel doen (mompelt iets met babydump, was ook zo'n lekker belangrijke site )azazel schreef: Wachtwoorden worden ge-hashed opgeslagen niet ge-encrypt.