Avatar billede Blueeyez Mester
17. oktober 2011 - 20:28 Der er 17 kommentarer og
1 løsning

ville https gøre en forskel?

Jeg sidder blot og undrer mig, man snakker meget om sikkerhed og nu er jeg meget godt med på nogle områder, men når vi snakker om at besøge hjemmesider så bekymrer det mig, for ville vores brugere ikke være langt bedre beskyttede hvis eksperten benyttede https (ssl) og ikke blot http?

Jeg ved ikke om der i forvejen er en sikkerhedsforanstaltning, men jeg kom blot til og tænke på det (:
Avatar billede chalde Seniormester
17. oktober 2011 - 21:15 #1
Det kommer an på hvilke data der sendes, og om det sendes i klartekst.
Avatar billede chalde Seniormester
17. oktober 2011 - 21:16 #2
Man kan sige, at alle indlæg f.eks. alligevel er tilgængelige, hvorimod passwords helst ikke skal sendes i klartekst.
Avatar billede Slettet bruger
17. oktober 2011 - 21:18 #3
Svaret er ja.
Med HTTPS ville vores login være bedre beskyttet.
Den ekstra sikkerhed er kun ifm. hvis andre lytter med på dit netværk - f.eks. på en trådløs forbindelse eller hvis i på anden måde deler internetforbindelsen.
Avatar billede Blueeyez Mester
17. oktober 2011 - 21:35 #4
#1 - 2: Jamen hvis det skal være i uklar tekst så skal det vel være https? (Altså hvis vi nu ser på login systemet herinde?) Jeg ved ikke om det er beskyttet på nogen måder, men jeg vil da selv mene at https kunne gøre en del?

#3 Hvad så med selve siden? Ville den være bedre beskyttet os? (Blot for og tjekke om det er en win-win (: )

Men jeg kan dog høre på dig at uanset så ville det være en fordel?
Avatar billede chalde Seniormester
17. oktober 2011 - 21:35 #5
#3 Den sidste del passer ikke helt. Så længe der ikke er point to point kryptering når data sendes i klartekst, så er der ingen sikkerhed for at andre på pakkens vej ikke kan opsnappe den.

At det for eksperten.dk ikke nødvendigvis er kritisk er en anden sag, men det er vigtigt at pointere at point to point kryptering og deslige på ingen måde kun er til for at beskytte på det lokale netværk.
Avatar billede chalde Seniormester
17. oktober 2011 - 21:39 #6
#4 Du kan kryptere login med et script.
Men sendes den i klartekst, så er det mest hensigtsmæssigt at gøre det over https ja.

Men generelt skal det opgøres i kroner og øre. Vil de betale for at give den sikkerhed. En sikkerhed der i mine øjne måske ikke er så nødvendig som f.eks. i mail/bank/osv....
Omend jeg altid foretrækker sikkerhed, så vil det altid blive afvejet økonomisk.
Avatar billede Blueeyez Mester
17. oktober 2011 - 21:43 #7
#6 Ja penge er jo altid noget der er vigtig at tænke på, nu ved jeg ikke lige hvordan man får https på en side (Hvis man selv ejer en) men koster det? Altså webhotel vs dedikeret server?

Eller kan det blot hentes ned på serveren og så er det kørende uden ekstra omkostninger ud over cpu/ram måske blive belastet en smule?

Jeg fandt som skrevet en tilføjelse til chrome der tvinger sider hvis de kan, men jeg ved ikke om man kan tage det for givet? Altså at der står https oppe foran en url er der garanti nok i følgende for at det er sikret?
Avatar billede chalde Seniormester
17. oktober 2011 - 21:51 #8
#7 Der kommer større krav til kapacitet (antallet af besøgende har stor indflydelse på dette), dertil indkøb og vedligeholdelse af certifikat (såfremt man ønsker at bruge det).
Det er ikke alle hoteller der understøtter det.
Den extension vil blot forsøge at tilgå via. https, og benytte det såfremt det er der.
Men for garanti, så tjek certifikatet (omend dette flere gange før har været forfalsket, se f.eks. fornylig hvor der blev stjålet certifikater fra en CA).
Avatar billede Blueeyez Mester
17. oktober 2011 - 22:01 #9
#8 Jeg bruger følgende i chrome: KB ssl enforcer, jeg ved ikke hvor vidt om den faktisk giver https, men jeg har lagt mærke til nogle huller (facebook.dk ingen https, men facebook.com er der https)


Måske du vil kigge lidt på det os og give feedback (:

(Ved godt følgende er lidt off topic, men da eksperten ikke understøtter det, så vil jeg blot teste på andre sider og se om følgende faktisk fremtvinger ssl)
Avatar billede chalde Seniormester
17. oktober 2011 - 22:06 #10
Vedr. din extension, så står der:
- Automatically detects if a site supports SSL (TLS) and redirects you to it

Så formentlig som jeg skrev, at den bare forsøger med https eller tjekker port 443.

Men altså: Den kan ikke give https på sider der ikke har det. Det kræver at serveren benytter det i frovejen.

I facebook kam du enable https gennem dine indstillinger på facebook.
Avatar billede johnstigers Seniormester
17. oktober 2011 - 22:13 #11
Hvis du brugte en bedre kategori, ville du helt sikkert få flere svar :)
Avatar billede Blueeyez Mester
17. oktober 2011 - 22:16 #12
#10 Ved godt serveren os skal have det (:

Ved godt der skal være understøttet ssl på serveren siden er på før en person kan tilgå serveren med ssl, men der jeg vil hen er om man kan forfalske dne del i en browser?

#11 Ja, men var i tvivl og det er os lidt et forslag til eksperten.dk, medmindre de har sikkerhed på login delen self (:
Avatar billede Slettet bruger
17. oktober 2011 - 23:12 #13
HTTPS består af 2 dele:
- Kryptering af kommunikationen. Når der står HTTPS foran en adresse, er det kun dig og serveren, der kan følge med i kommunikationen.
- Et Certifikat på serveren, der fortæller, om serveren er godkendt til at administrere det domæne, der står i URLen - f.eks. "eksperten.dk", "facebook.com" eller "gmail.com".
Avatar billede pstidsen Novice
17. oktober 2011 - 23:17 #14
#13: Så vil det jo gavne at skrive https:// foran alle adresser når man surfer.
Avatar billede Slettet bruger
17. oktober 2011 - 23:25 #15
Ja.. Forudsat du sender følsomme informationer og serveren supporterer https..
Men https forekommer ikke særlig tit på sider, der ikke benytter det som standard (altså redirecter dig til https udgaven af siden automatisk).
Avatar billede Wally73 Mester
17. oktober 2011 - 23:47 #16
Et server-certificate til HTTPS gør to ting.

1. autentificerer serveren, hvilket vil sige at det angiver om serveren er den som den udgiver sig for at være.

2. krypterer forbindelsen mellem klienten og serveren.

For at autentificering virker skal man som bruger have tillid til den part, der står for dette, hvilket ved de fleste brugere sker gennem den liste af "godkendte" firmaer, der følger med deres operativsystem eller browser.

Der kan godt laves private udgaver af disse steder, men det er så svært at få overbevist brugerne om at de er acceptable, da det svarer lidt til at en politiker der består at han er upartisk. :)

De "godkendte" firmaer kræver praktisk talt alle penge for deres ydelser, men der findes billige firmaer imellem.
Spørgsmålet er om det ekstra arbejde der skal laves og den lille udgift der er ved at opretholde et certifikat kan betale sig i forhold til den ekstra sikkerhed det giver.
I mange tilfælde kan det ikke betale sig, da sitet der beskyttes som sådan ikke indeholder følsomme data.

Email-adresser er oftest det mest følsomme på disse sites og de sendes oftest kun under oprettelsen, hvorefter de kan krypteres og smides i en database.

Kodeord krypteres oftest også, men det er mere for at beskyttet sitet selv mod eventuelle sikkerhedsbrud på databaseniveau. Det er altså ikke for at beskytte brugerens kodeord, da altid er best practice ikke at benytte samme kodeord til flere tjenester.
Avatar billede arne_v Ekspert
20. oktober 2011 - 13:10 #17
Det er naeppe prisen paa et certfikat som afholder E fra at koebe et og skifte til HTTPS.

Men SSL handshake bruger altsaa noget CPU. Og med mange brugere kan det godt oege belastningen paa serveren saa meget at det kan maerkes.
Avatar billede Blueeyez Mester
16. november 2011 - 11:37 #18
Lukker tråden her.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Alle kurser indenfor Microsoft 365 – både til begyndere og øvede.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester