Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Aanmelden op security.nl via https

12-01-2011, 16:35 door Anoniem, 3 reacties
Ik vroeg mij het volgende af:
Is het mogelijk om je via https aan te melden/registreren op het forum van security.nl?

Ik kan het niet vinden, maar het zal vast kunnen op een site voor securityzaken... Toch?
Reacties (3)
12-01-2011, 18:04 door Bitwiper
In elk geval inloggen kan via https://secure.security.nl/. Helaas zit er wel een bug in het aanmeldproces, direct na inloggen word je geredirect naar de non-SSL variant van de URL waar je zat toen je inlogde.

Overigens gebeurt het feitelijke aanloggen altijd via SSL, maar dat is nauwelijks zinvol. De reden daarvoor is dat als je op een spoofed non-SSL site van security.nl zit en je logt in, jouw inloggegevens natuurlijk naar de aanvaller worden gestuurd zonder dat je dat merkt.
12-01-2011, 20:57 door Ome Jeroen
Door Bitwiper: In elk geval inloggen kan via https://secure.security.nl/. Helaas zit er wel een bug in het aanmeldproces, direct na inloggen word je geredirect naar de non-SSL variant van de URL waar je zat toen je inlogde.

Overigens gebeurt het feitelijke aanloggen altijd via SSL, maar dat is nauwelijks zinvol. De reden daarvoor is dat als je op een spoofed non-SSL site van security.nl zit en je logt in, jouw inloggegevens natuurlijk naar de aanvaller worden gestuurd zonder dat je dat merkt.

Hartelijk dank voor de info! Daar hebben we nog eens wat aan. Ik ben die url https://secure.security.nl overigens nergens tegengekomen, maar ik zal wel weer te haastig geweest zijn.

Ik merk trouwens net dat als je de url aanpast naar de https versie, dus http://www.security.nl/... vervangt door https://secure.security.nl/... je wel gewoon een ssl sessie blijft houden tijdens het browsen van de site. Beter, lijkt me.
14-01-2011, 19:55 door 0101
De login en (naar ik vermoed) ook signup gebeuren altijd via SSL, bovendien wordt je password geëncrypteerd voor het verzenden. Natuurlijk loop je nog steeds het risico op een MITM attack (https://www.google.com/#q=MITM) als je niet inlogt vanaf de secure versie; het kan dan ook geen kwaad om de SecurityNL rule (https://gitweb.torproject.org/https-everywhere.git/blob_plain/HEAD:/src/chrome/content/rules/SecurityNL.xml) voor HTTPS Everywhere (https://www.eff.org/https-everywhere) te installeren.
(Bestand in je Firefox profielmap in het mapje HTTPSEverywhereUserRules opslaan, Firefox herstarten en klaar.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.