Inloggen en registreren op het forum zonder HTTPS

[owwwwk]

Zoals eerder geschreven: het zijn vrijwilligers die samen in eigen tijd) een gratis forum moeten onderhouden en modereren. Wellicht met wat beperkte reclameinkomsten die nodig zijn voor de reguliere kosten en een jaarlijkse BBQ Wellicht is ook sprake van extra kosten?

Verder mag je ook uitgaan van enig eigen verstand.... al zie ik hier nog steeds mensen die onder (waarschijnlijk) eigen naam actief zijn en anderen die hun mailadres of mobiele nummer hier achterlaten.... Dan helpt https ook niet meer....

[Knakker29]

Tja. Zoals eerder geschreven: We hebben te maken met vrijwilligers op een gratis forum. Verder mag je ook uitgaan van enig eigen verstand al zie ik hier nog steeds mensen die onder (waarschijnlijk) eigen naam actief zijn en anderen die hun mailadres of mobiele nummer hier achterlaten....

Wellicht is ook sprake van extra kosten?

Het is even een paar uurtjes werk om het goed te doen, maar certificaten kun je tegenwoordig gratis krijgen, voor een forum als dit voldoet een gratis cert (Let's Encrypt e.a.) m.i. prima. Uiteraard moet je mensen bewust maken en zoveel mogelijk helpen, maar als aanbieder (gratis of niet) heb je hierin ook een verantwoordelijkheid.

Maar goed; punt gemaakt, terug naar fietsen

[owwwwk]

wat de heren beheerders/admins/moderators vermoedelijk liever doen

[Knakker29]

ik geef ze geen ongelijk

[vibemaker]

De website/het forum is: "Een initiatief van de bikers van eGate Internet Solutions."
Je zou verwachten dat ze hier qua security de boel wel op orde hebben.
Overigens loopt de forumsoftware ook een paar security updates achter, maar ik kan me vergissen.

[Dice Oldskool]

wat de heren beheerders/admins/moderators vermoedelijk liever doen

Dat denk ik ook, en vergeet de...

jaarlijkse BBQ

niet.

Je zal maar beheerder/moderator zijn en die moeten missen. Gewoon een heel jaar vergooit.

[owwwwk]

[shiverer]

wat de heren beheerders/admins/moderators vermoedelijk liever doen

Exact!

Vanuit mn werk heb ik ook nogal eens wat met (data)veiligheid te maken. Je kunt het zo spannend maken als je zelf wilt. De vraag is, wat zet het voor zoden aan de dijk? De meest gevoelige informatie zetten members zelf op het publieke deel van het forum (namelijk: kijk, dit is mijn fiets!! En ik woon DAAR!!!! En ik heet ZOOOO!!!!) Één grote marktplaats voor mensen die graag goedkoop shoppen, zeg maar.

Dus, wat is er nu zo "privé"? Je e-mailadres versus wachtwoord? Dat is hierboven al aangehaald, we hebben hopelijk niet allemaal overal dezelfde wachtwoorden. Je zou een HTTPS een schijnveiligheid kunnen noemen voor een niet al te interessant probleem. Het probleem is en blijft de gebruiker zelf, die compleet onwetend maar wat op internet kwakt. Je zult er altijd zelf voor moeten zorgen dat je wachtwoorden op orde zijn, en dat je voldoende variatie brengt in je wachtwoorden zodat het verlies van één geen domino effect aan "hacks" oplevert. Dat geldt overigens op IEDERE website, naar mijn bescheiden mening.

Dus ja, je logt in én registreert zonder HTTPS. So what? Het enige wat jij hoeft in te vullen is je e-mailadres en een nickname, die nog niet eens je eigen naam hoeft te zijn. Ja, als wij je vragen al je NAW-gegevens, bloedgroep, huwelijkse status en de hele rataplan in te vullen dan zou ik me zorgen maken om "data veiligheid".

Vraag je al lezende eens af of je een naar je eigen bescheiden mening een passend antwoord hebt op de volgende vragen:
- hoe vaak wijzig jij je (hoofd) wachtwoorden?
- Heb jij encryptie en een pincode, of beter, een wachtwoord of fingerprint herkenning op je telefoon?
- kan iedere druif die hier een bezoek brengt, je woonplaats, naam en fietsenarsenaal inschatten?

Nee, niet iedereen hoeft zijn antwoord hier te posten. Maar realiseer je wat je hier wilt beschermen ("beschermen") met https. Wij vragen niet of je een heel spannend en intiem profiel in elkaar sleutelt alvorens je je aanmeldt, toch?

En misschien doen we het wel hoor, zo is het niet. Maar het boeit mij persoonlijk geen pannenkoek als ze mijn e-mailadres bij mijn nickname weten. Die kan een beetje slim figuur zo ook wel raden, zeg maar.. Je zou je om andere dingen druk kunnen maken.

[Alien]

Interessante respons.

[guko]

Vanuit mn werk heb ik ook nogal eens wat met (data)veiligheid te maken. Je kunt het zo spannend maken als je zelf wilt. De vraag is, wat zet het voor zoden aan de dijk?

Tijdens de registratie werden mij de voorwaarden getoond. Voor zij die ze even niet meer weten omdat ze zich al lang geleden zich geregistreerd hebben, dit zijn ze:

Verder plaats je geen kwetsende, obscene, vulgaire, lasterlijke, haatdragende, bedreigende, racistische, seksueel-georiënteerde of andere inhoud die in strijd is met internationale wetten, de wetten van je eigen land of het land waar "Mountainbike.nl" gehost wordt. Als je dit toch doet, kan dit leiden tot een onmiddellijke permanente uitsluiting en waarschuwen we, als we dit nodig vinden, je internetprovider. Je IP-adres wordt bij iedere post opgeslagen, waardoor we het volgen van de voorwaarden kunnen afdwingen. Je gaat ook akkoord met het feit dat "Mountainbike.nl" het recht heeft om op ieder moment een onderwerp te verwijderen, verplaatsen of sluiten. Als gebruiker sta je ook toe dat je informatie in onze database wordt opgeslagen. Deze informatie wordt nooit aan derden doorgegeven zonder je instemming. Noch "Mountainbike.nl", noch phpBB zijn verantwoordelijk als je gegevens door een forumhack toch openbaar gemaakt zouden worden.

Nu zit ik in de trein, bieb of koffie tentje met gratis WiFi en ik wil effe wat lezen en posten op het forum van mountainbike.nl. Ik log in, en hoppa m'n gebruikersnaam en wachtwoord gaan in 'clear text' over het draadloze netwerk. Het is een koud kunstje voor andere gebruikers van dat WiFi netwerk dat te sniffen. Prompt worden er onder mijn naam/account kwetsende, obscene, vulgaire, lasterlijke, haatdragende, bedreigende, racistische, seksueel-georiënteerde of andere inhoud gepost die in strijd is met internationale wetten, de wetten van je eigen land of het land waar "Mountainbike.nl" gehost wordt. Allemaal gezeik aan m'n kop over wat ik zogenaamd gepost zou hebben. Jullie vatten het serieus op, waarschuwen m'n internet provider. Weet ik veel wat meer.

Het is heel simpel en ik trek effe een parallel met mountainbiken. Als je gaat mountainbiken zet je een helm op je knar. Daar voer je geen discussie meer over. Je draagt geen argumenten meer aan met situaties waarin je prima zonder helm zou kunnen fietsen. Mountainbiken = helm op. Net zo met websites/internetten. Inloggen, registeren = HTTPS. Dat is feitelijk al lang geen discussie meer en het verbaast me dat die hier nog gevoerd wordt.

Terugkerend naar de voorwaarden die werden gesteld aan registratie hier op het forum. Zonder HTTPS zijn die voorwaarden nutteloos. Ik kan altijd aannemelijk maken dat ik het niet was. Die voorwaarden stellen zonder zorg te dragen dat niemand m'n gebruikersnaam i.c.m. met wachtwoord kan sniffen, is gewoon raar. Vind je HTTPS overdreven, laat die voorwaarden dan ook alsjeblieft zitten. Zorg voor een consistent verhaal.

[guko]

wat de heren beheerders/admins/moderators vermoedelijk liever doen

Exact!

Kan ik me heel goed voorstellen. Maar waarom dan het forum beheer niet uit besteden aan iets als bijvoorbeeld Reddit. Neem https://www.reddit.com/r/MTB/ als voorbeeld. Het voordeel daarvan is dat je geen verantwoordelijkheden meer hebt over het technische beheer. En d'r zijn ook nog eens tal van clients voor Android en iOS voor de mensen die de boel liever mobiel lezen.

Enige nadeel daaraan is dat het traffic weghaald bij mountainbike.nl. Is minder leuk ivm adverteerders.

[suravida]

Heb je je nou speciaal geregistreerd om op een mtb forum commentaar te geven op de IT? Maar mtb.nl stamt al van voor Reddit (of iOS, Android of zelfs telefoons zonder knoppen) dus ik kan me voorstellen dat ze dat destijds daarom niet hebben gedaan.
Verder ben ik het (als complete IT noob) eens met Shiv, dit is een forum, geen site met gevoelige info. Behalve dan dus de zooi die je zelf online zet, en daar helpt die extra S helemaal niks aan.

Maar mooi om de grote baas zelf weer eens hier te zien! (nog een beetje aan het fietsen Shiv?)

[guko]

Heb je je nou speciaal geregistreerd om op een mtb forum commentaar te geven op de IT?

Nope, wilde ook gewoon lekker kunnen posten over mountainbiken. Het was pas tijdens m'n registratie dat ik merkte dat m'n wachtwoord in clear text verzonden werd.

Verder ben ik het (als complete IT noob) eens met Shiv, dit is een forum, geen site met gevoelige info. Behalve dan dus de zooi die je zelf online zet, en daar helpt die extra S helemaal niks aan.

Gevoelige info = je wachtwoord. Je gaat akkoord met voorwaarden die gekoppeld zijn aan jouw identiteit hier op het forum. Echter mountainbike.nl draagt geen zorg voor een fatsoenlijke bescherming van die identiteit. Dat klopt gewoon niet.

Dat de discussie zo groot wordt zit hem in de ontkenning daarvan. Als men had gezegd: Ah, fijn dat je er ons op attent maakt. Gaan we zo snel mogelijke fiksen waren we snel klaar geweest. Maar nu voeren we een discussie waar de rest van het Internet al jaren over uit is.

Ik zag gewoon iets wat mijn inziens niet klopt t.a.v. website/forum beheer anno 2017. Daar kan men zijn of haar voordeel mee doen of niet. Enfin heb m'n zegje gedaan. Ik ga me weer eens focussen op mountainbike info.

[Knakker29]

Vanuit mn werk heb ik ook nogal eens wat met (data)veiligheid te maken.

Dus ja, je logt in én registreert zonder HTTPS. So what?

I rest my case.

[shiverer]

Gevoelige info = je wachtwoord. Je gaat akkoord met voorwaarden die gekoppeld zijn aan jouw identiteit hier op het forum. Echter mountainbike.nl draagt geen zorg voor een fatsoenlijke bescherming van die identiteit. Dat klopt gewoon niet.

Dat de discussie zo groot wordt zit hem in de ontkenning daarvan. Als men had gezegd: Ah, fijn dat je er ons op attent maakt. Gaan we zo snel mogelijke fiksen waren we snel klaar geweest. Maar nu voeren we een discussie waar de rest van het Internet al jaren over uit is.

Zeker fijn dat je erop wijst! Er zijn maar zeer weinig mensen bewust van hun voorkomen op internet. Maar dat had ook met een persoonlijk bericht gekund natuurlijk Ik wil het issue zeker niet ontkennen, maar ik wil het wel in perspectief plaatsen. Ik leg het ook zeker bij onze CEO neer hoor, als je dat wat gerust stelt.

Persoonlijk vind ik "identiteit op het forum" nogal een zwaar gekozen term, maar ieder z'n meug.