Hore

Fórum » Ephoto - návrhy a pripomienky
 

Prihlasovanie cez SSL (HTTPS)

PeCh
2012-08-02 17:39:38+02
Ahojte, chcel by som redakciu poprosiť, či by ste na portály nemohli dovoliť používateľom prihlasovať sa cez SSL/https protokol?

V terajšom stave nie je problém odchytiť používateľom heslá (keby som chcel už teraz mám heslá kolegov . SSL už na serveri máte, len to treba správne nastaviť. Horšie je, ak je človek v zahraničí a má ísť cez nejakú nezabezpečenú wifinu...
 
Misoo79
2012-08-02 18:08:13+02
príspevok od: PeCh
Ahojte, chcel by som redakciu poprosiť, či by ste na portály nemohli dovoliť používateľom prihlasovať sa cez SSL/https protokol?

V terajšom stave nie je problém odchytiť používateľom heslá (keby som chcel už teraz mám heslá kolegov . SSL už na serveri máte, len to treba správne nastaviť. Horšie je, ak je človek v zahraničí a má ísť cez nejakú nezabezpečenú wifinu...
Neviem si predstaviť dôvod, prečo by niekto kradol účet na ePhote, ale inak to nieje zlý nápad
 
mathino
2012-08-02 20:28:04+02
príspevok od: Misoo79
Neviem si predstaviť dôvod, prečo by niekto kradol účet na ePhote, ale inak to nieje zlý nápad
Čo Ty vieš, čo má v súkromných správach...
 
admin
redakcia ephoto.sk 2012-08-02 20:38:28+02
príspevok od: PeCh
Ahojte, chcel by som redakciu poprosiť, či by ste na portály nemohli dovoliť používateľom prihlasovať sa cez SSL/https protokol?

V terajšom stave nie je problém odchytiť používateľom heslá (keby som chcel už teraz mám heslá kolegov . SSL už na serveri máte, len to treba správne nastaviť. Horšie je, ak je človek v zahraničí a má ísť cez nejakú nezabezpečenú wifinu...
posuniem poziadavku IT a dam vediet
 
PeCh
2012-08-02 23:04:45+02
príspevok od: Misoo79
Neviem si predstaviť dôvod, prečo by niekto kradol účet na ePhote, ale inak to nieje zlý nápad
Účet na ephote môže byť každému ukradnutý (dvojzmyselne ). No 80+ % používateľov však používa rovnaké heslo aj na ďalšie služby. Odchytením jedného hesla sa tak môže dostať k ďalším prístupom (minimálne mail, ktorý je ku kontu priregistrovaný).

Nehovoriac, keby sa niekto zahral s kontom Karola alebo ďalších z redakcie. No a nedávno tu riešil nejakého zlomyselníka Stratený.

 
PeCh
2012-08-02 23:05:16+02
príspevok od: admin
posuniem poziadavku IT a dam vediet
Vďaka.
 
wlad
2012-08-02 23:12:37+02
príspevok od: PeCh
Účet na ephote môže byť každému ukradnutý (dvojzmyselne ). No 80+ % používateľov však používa rovnaké heslo aj na ďalšie služby. Odchytením jedného hesla sa tak môže dostať k ďalším prístupom (minimálne mail, ktorý je ku kontu priregistrovaný).

Nehovoriac, keby sa niekto zahral s kontom Karola alebo ďalších z redakcie. No a nedávno tu riešil nejakého zlomyselníka Stratený.

ked je niekto nezodpovedny a vsade pouziva rovnake heslo, je to jeho problem. Nevidim najmensi dovod preco by sa o to mal starat portal.

A NAVYSE - pochybujem ze kvoli tvojej (absolutne neopodstatnenej) poziadavke si bude ephoto vybavovat a hlavne PLATIT nejakej certifikacnej autorite za SSL certifikat.
Ved ani ich eshop nema platny SSL certifikat, tak naco by takuto kravinu riesili pre obycajny portal ?

A ked si vygeneruju vlastny certifika, docielia tym akurat to, ze kazdemu navstevnikovi bude browser zobrazovat tucnu vyzvu o nedoveryhodnom certifika dovtedy, kym si nenainstaluje tento certifika a neudeli mu vynimku.

Ergo, je to totalna kravina a dalej sa tym netreba zaoberat.
 
S3030150
2012-08-03 08:15:49+02
príspevok od: wlad
ked je niekto nezodpovedny a vsade pouziva rovnake heslo, je to jeho problem. Nevidim najmensi dovod preco by sa o to mal starat portal.

A NAVYSE - pochybujem ze kvoli tvojej (absolutne neopodstatnenej) poziadavke si bude ephoto vybavovat a hlavne PLATIT nejakej certifikacnej autorite za SSL certifikat.
Ved ani ich eshop nema platny SSL certifikat, tak naco by takuto kravinu riesili pre obycajny portal ?

A ked si vygeneruju vlastny certifika, docielia tym akurat to, ze kazdemu navstevnikovi bude browser zobrazovat tucnu vyzvu o nedoveryhodnom certifika dovtedy, kym si nenainstaluje tento certifika a neudeli mu vynimku.

Ergo, je to totalna kravina a dalej sa tym netreba zaoberat.
typicky slovenske: "to treba ? naco ? sak to je zbytocne, tam aj tak nic nemam". kto heslo vie odchytit, vie ze SSL ma vyznam aj na takom "ukradnutom" (v zmysle prispevku na ktory reagujem) webe ako je ephoto.

urcite je pre ephoto lacnejsie, ak budu mat jeho pouzivatelia ine heslo, ako do inych portalov. ale pre ephoto si zaplatit certifikat od verejnej autority by mala byt samozrejmost, z ucty voci pouzivatelom a zakaznikom.

na druhej strane, ktovie ako su ulozene hesla...
 
wlad
2012-08-03 08:50:52+02
príspevok od: S3030150
typicky slovenske: "to treba ? naco ? sak to je zbytocne, tam aj tak nic nemam". kto heslo vie odchytit, vie ze SSL ma vyznam aj na takom "ukradnutom" (v zmysle prispevku na ktory reagujem) webe ako je ephoto.

urcite je pre ephoto lacnejsie, ak budu mat jeho pouzivatelia ine heslo, ako do inych portalov. ale pre ephoto si zaplatit certifikat od verejnej autority by mala byt samozrejmost, z ucty voci pouzivatelom a zakaznikom.

na druhej strane, ktovie ako su ulozene hesla...
prosim ta, vymenuj mi Slovenske, alebo trebars aj zahranicne portaly do ktorych sa prihlasujes cez SSL. Som vazne zvedavy.

SSL ma vyznam tam, kde sa prenasaju citlive udaje. Diskusny portal take udaje neprenasa. Ak niekto posiela druhemu cislo kreditky cez sukromnu spravu, tak je debil.
 
dePappa
2012-08-03 09:32:04+02
niekolko postrehov

1) za certifikat sa nemusi platit, na niekolko mojich weboch pouzivam produkt od http://www.startcom.org/ ktory je zadarmo a validny (na hlavnych prehliadacoch)

2) ssl v tomto pripade imho aj tak nic neriesi, pokial je clovek na jednej lanke (co je asi tazatelov pripad) tak podvrhnut certifakt je celkom malina (arp spoof -> redirect gateway, man in the middle attack). Suhlasim, ze je to zvysena ochrana, ale ak je clovek na jednom lan segmente (bez manazovatelnych switchow (99% domacnosti)), pripadne ma pristup k routrom po ceste, tak SSL je nainvna predstava bezpecnosti Nehovorim, ze by sa nemala implementovat, ale az taka bezpecna nie je... nehovoriac o zvysenom poterbnom vykone na strane servera... odozenie to mozno skript kiddies a zvysi bezpecnost na nezabezpecenych wifinach... A preto napr. ja pouzivam vlastny openvpn server a prve co spravim na neznamej sieti ze sa pripojim do vlastnej vpnky a ako default gw sii nastavim moj domaci router ktoremu verim (opat subjektivny pocit).

 
admin
redakcia ephoto.sk 2012-08-03 11:31:53+02
Riesime to. Do tyzdna by to malo byt vyriesene, kedze su k tomu potrebne este niektore administrativne ukony.
 
S3030150
2012-08-03 16:00:02+02
príspevok od: wlad
prosim ta, vymenuj mi Slovenske, alebo trebars aj zahranicne portaly do ktorych sa prihlasujes cez SSL. Som vazne zvedavy.

SSL ma vyznam tam, kde sa prenasaju citlive udaje. Diskusny portal take udaje neprenasa. Ak niekto posiela druhemu cislo kreditky cez sukromnu spravu, tak je debil.
kazda napr. mailova sluzba. ale tu nema vyznam nic menovat. kazdopadne, ephoto sa k tomu postavilo tak aby bolo prihlasovanie bezpecnejsie, dalej neni co riesit
 
wlad
2012-08-03 17:00:59+02
príspevok od: S3030150
kazda napr. mailova sluzba. ale tu nema vyznam nic menovat. kazdopadne, ephoto sa k tomu postavilo tak aby bolo prihlasovanie bezpecnejsie, dalej neni co riesit
treba ti vysvetlovat rozdiel medzi diskusnym portalom a emailovymi sluzbami ?
 
S3030150
2012-08-03 17:38:31+02
príspevok od: wlad
treba ti vysvetlovat rozdiel medzi diskusnym portalom a emailovymi sluzbami ?
mne je jedno, aky vidis rozdiel medzi diskusnym portalom a emailovymi sluzbami. daj jeden objektivny dovod, preco by nemalo byt prihlasovanie zabezpecene (to ze tu mas ine heslo a nemas fotky neni podstatne, to nemam ani ja)
 
wlad
2012-08-03 19:07:28+02
príspevok od: S3030150
mne je jedno, aky vidis rozdiel medzi diskusnym portalom a emailovymi sluzbami. daj jeden objektivny dovod, preco by nemalo byt prihlasovanie zabezpecene (to ze tu mas ine heslo a nemas fotky neni podstatne, to nemam ani ja)
1. chybajuci zmysel
2. administrativna narocnost
3. ak to nebude fungovat spravne, ludi odradia varovne hlasky o nebezpecnom pripojeni
 
S3030150
2012-08-05 20:11:00+02
príspevok od: wlad
1. chybajuci zmysel
2. administrativna narocnost
3. ak to nebude fungovat spravne, ludi odradia varovne hlasky o nebezpecnom pripojeni
1. ako pre koho
2. raz to admin nastavi a potom v pravidelnych intervaloch (1-5 rokov) vymeni certifikat
3. ked to nasadi dobre, ziadne hlasky sa nezobrazia

ale uz to riesia, evidentne to nie je tak neriesitelne ako si myslis
 
wlad
2012-08-05 20:31:31+02
príspevok od: S3030150
1. ako pre koho
2. raz to admin nastavi a potom v pravidelnych intervaloch (1-5 rokov) vymeni certifikat
3. ked to nasadi dobre, ziadne hlasky sa nezobrazia

ale uz to riesia, evidentne to nie je tak neriesitelne ako si myslis
1. pre hlupakov co pouzivaju vsade rovnake hesla a radsej sa budu spoliehat na bezpecnost nejakeho portalu, akoby mali pouzivat viac hesiel
2. kazdy rok, pokial nechce platit
3. kym napriklad nejaky browser nevyhodi tu pofidernu CA zo svojho zoznamu (co sa nedavno stalo nejakym 5tim CA)
 
Strana 1 z 1
 





Inzercia
  • ()
     
  • ()
     
  • ()
     
  • ()
     
  • ()