ville https gøre en forskel?

Det kommer an på hvilke data der sendes, og om det sendes i klartekst.

Man kan sige, at alle indlæg f.eks. alligevel er tilgængelige, hvorimod passwords helst ikke skal sendes i klartekst.

Svaret er ja.
Med HTTPS ville vores login være bedre beskyttet.
Den ekstra sikkerhed er kun ifm. hvis andre lytter med på dit netværk - f.eks. på en trådløs forbindelse eller hvis i på anden måde deler internetforbindelsen.

#1 - 2: Jamen hvis det skal være i uklar tekst så skal det vel være https? (Altså hvis vi nu ser på login systemet herinde?) Jeg ved ikke om det er beskyttet på nogen måder, men jeg vil da selv mene at https kunne gøre en del?

#3 Hvad så med selve siden? Ville den være bedre beskyttet os? (Blot for og tjekke om det er en win-win (: )

Men jeg kan dog høre på dig at uanset så ville det være en fordel?

#3 Den sidste del passer ikke helt. Så længe der ikke er point to point kryptering når data sendes i klartekst, så er der ingen sikkerhed for at andre på pakkens vej ikke kan opsnappe den.

At det for eksperten.dk ikke nødvendigvis er kritisk er en anden sag, men det er vigtigt at pointere at point to point kryptering og deslige på ingen måde kun er til for at beskytte på det lokale netværk.

#4 Du kan kryptere login med et script.
Men sendes den i klartekst, så er det mest hensigtsmæssigt at gøre det over https ja.

Men generelt skal det opgøres i kroner og øre. Vil de betale for at give den sikkerhed. En sikkerhed der i mine øjne måske ikke er så nødvendig som f.eks. i mail/bank/osv....
Omend jeg altid foretrækker sikkerhed, så vil det altid blive afvejet økonomisk.

#6 Ja penge er jo altid noget der er vigtig at tænke på, nu ved jeg ikke lige hvordan man får https på en side (Hvis man selv ejer en) men koster det? Altså webhotel vs dedikeret server?

Eller kan det blot hentes ned på serveren og så er det kørende uden ekstra omkostninger ud over cpu/ram måske blive belastet en smule?

Jeg fandt som skrevet en tilføjelse til chrome der tvinger sider hvis de kan, men jeg ved ikke om man kan tage det for givet? Altså at der står https oppe foran en url er der garanti nok i følgende for at det er sikret?

#7 Der kommer større krav til kapacitet (antallet af besøgende har stor indflydelse på dette), dertil indkøb og vedligeholdelse af certifikat (såfremt man ønsker at bruge det).
Det er ikke alle hoteller der understøtter det.
Den extension vil blot forsøge at tilgå via. https, og benytte det såfremt det er der.
Men for garanti, så tjek certifikatet (omend dette flere gange før har været forfalsket, se f.eks. fornylig hvor der blev stjålet certifikater fra en CA).

#8 Jeg bruger følgende i chrome: KB ssl enforcer, jeg ved ikke hvor vidt om den faktisk giver https, men jeg har lagt mærke til nogle huller (facebook.dk ingen https, men facebook.com er der https)


Måske du vil kigge lidt på det os og give feedback (:

(Ved godt følgende er lidt off topic, men da eksperten ikke understøtter det, så vil jeg blot teste på andre sider og se om følgende faktisk fremtvinger ssl)

Vedr. din extension, så står der:
- Automatically detects if a site supports SSL (TLS) and redirects you to it

Så formentlig som jeg skrev, at den bare forsøger med https eller tjekker port 443.

Men altså: Den kan ikke give https på sider der ikke har det. Det kræver at serveren benytter det i frovejen.

I facebook kam du enable https gennem dine indstillinger på facebook.

Hvis du brugte en bedre kategori, ville du helt sikkert få flere svar :)

#10 Ved godt serveren os skal have det (:

Ved godt der skal være understøttet ssl på serveren siden er på før en person kan tilgå serveren med ssl, men der jeg vil hen er om man kan forfalske dne del i en browser?

#11 Ja, men var i tvivl og det er os lidt et forslag til eksperten.dk, medmindre de har sikkerhed på login delen self (:

HTTPS består af 2 dele:
- Kryptering af kommunikationen. Når der står HTTPS foran en adresse, er det kun dig og serveren, der kan følge med i kommunikationen.
- Et Certifikat på serveren, der fortæller, om serveren er godkendt til at administrere det domæne, der står i URLen - f.eks. "eksperten.dk", "facebook.com" eller "gmail.com".

#13: Så vil det jo gavne at skrive https:// foran alle adresser når man surfer.

Ja.. Forudsat du sender følsomme informationer og serveren supporterer https..
Men https forekommer ikke særlig tit på sider, der ikke benytter det som standard (altså redirecter dig til https udgaven af siden automatisk).

Et server-certificate til HTTPS gør to ting.

1. autentificerer serveren, hvilket vil sige at det angiver om serveren er den som den udgiver sig for at være.

2. krypterer forbindelsen mellem klienten og serveren.

For at autentificering virker skal man som bruger have tillid til den part, der står for dette, hvilket ved de fleste brugere sker gennem den liste af "godkendte" firmaer, der følger med deres operativsystem eller browser.

Der kan godt laves private udgaver af disse steder, men det er så svært at få overbevist brugerne om at de er acceptable, da det svarer lidt til at en politiker der består at han er upartisk. :)

De "godkendte" firmaer kræver praktisk talt alle penge for deres ydelser, men der findes billige firmaer imellem.
Spørgsmålet er om det ekstra arbejde der skal laves og den lille udgift der er ved at opretholde et certifikat kan betale sig i forhold til den ekstra sikkerhed det giver.
I mange tilfælde kan det ikke betale sig, da sitet der beskyttes som sådan ikke indeholder følsomme data.

Email-adresser er oftest det mest følsomme på disse sites og de sendes oftest kun under oprettelsen, hvorefter de kan krypteres og smides i en database.

Kodeord krypteres oftest også, men det er mere for at beskyttet sitet selv mod eventuelle sikkerhedsbrud på databaseniveau. Det er altså ikke for at beskytte brugerens kodeord, da altid er best practice ikke at benytte samme kodeord til flere tjenester.

Det er naeppe prisen paa et certfikat som afholder E fra at koebe et og skifte til HTTPS.

Men SSL handshake bruger altsaa noget CPU. Og med mange brugere kan det godt oege belastningen paa serveren saa meget at det kan maerkes.

Lukker tråden her.