SSL vid inloggning

[mcNisse]

Jag tycker att det är dags att tänka på medlemmarnas säkerhet. Vore det inte på tiden att vi inför inloggning med https?
Även ett självsignerat certifikat är bättre än inget...

[Kurdistan]

Jag tycker att det är dags att tänka på medlemmarnas säkerhet. Vore det inte på tiden att vi inför inloggning med https?
Även ett självsignerat certifikat är bättre än inget...

Vettig förslag/uppmaning.

[m!rage]

Firefox håller inte med om att självsignerade certifikat är något att ha. I värsta fall kanske dess uppmaningar att "Ta mig härifrån" skrämmer bort någon.

[Peetra]

Era lösenord är både hashade och saltade, inte ens de med klar db-tillgång har möjlighet att få ut dem. Ett osignerat SSL kommer bara att skrämma bort folk, inga bottar. Inloggningen blir inte säkrare för det. Såvitt jag vet har ingen highjackat något via forumet pga av att vi kör med standard, så jag förstår inte riktigt detta förslag.

SSL skulle förhindra att det ni skickar kapas, men ingen kapar det jhue, så...?

[mcNisse]

Därför att lösenorden skickas i klartext över http protokollet!

[Peetra]

Kapar någon våra lösenord?

[mcNisse]

Hur ska jag veta det???

Det är iaf möjligt...

[mcNisse]

Inloggning med openID är ju ett annat sätt.

[mcNisse]

Kan det här vara något att införa http://sourceforge.net/projects/phpbb-openid/ ? Det vore ju trevligt att logga in med sitt launchpadkonto

[Peetra]

Jag är öppen för ideer, men har åtminstone inte ännu fått tillgång till kopior av filer/db för att göra/testa ens mer prioriterade saker ang. modifikationer av forumet, så jag sågar alla ideer på löpande band, tills jag eller annan vid namn nämnd person sköter om tillsammans bestämda tekniska förändringar för forumet.

[mcNisse]

Försök att komma ihåg det här förslaget

[andol]

Jag är öppen för ideer, men har åtminstone inte ännu fått tillgång till kopior av filer/db för att göra/testa ens mer prioriterade saker ang. modifikationer av forumet, så jag sågar alla ideer på löpande band, tills jag eller annan vid namn nämnd person sköter om tillsammans bestämda tekniska förändringar för forumet.

Mycket, och då framförallt sådant här, går väl att testa med en standardinstallation utav phpBB? Det är väl främst innan skarp implementation man även behöver göra en sista test mot det befintliga systemet?

[Peetra]

Jovisst, Andol, det har du rätt i, men jag har lite liksom gett upp hoppet, det finns saker att göra och testa, som det verkligen sedan kan användas, så det är en fråga om prioiritering. Jag öppnade iallafall länken nu. På skaparens forum måste jag skapa ett forumkonto även om jag har ett OpenID. http://zenorsoft.com/home

[fd.svensson]

Ja, jag tycker också att vi ska försvåra för vanligt folk att komma in på Forumet
Då är det väl bättre att ni som är oroliga fixar ett ordentligt lösenord

[Peetra]

Jajustdetja. Om ni är oroliga över att era lösenord klapas på vägen till någon webbsajt, så är det ju skönt att veta att det är bara en plats, eftersom ingen väl använder samma lösenord på flera ställen.

[mcNisse]

Ja, jag tycker också att vi ska försvåra för vanligt folk att komma in på Forumet
Då är det väl bättre att ni som är oroliga fixar ett ordentligt lösenord

Det spelar ingen roll hur svårt lösenord du har om det bara är att läsa av det från nätet... kolla in firesheep vilken noob som helst kan sniffa nätvärk numera.
Det jag vill är att lösenordet skickas krypterat mellan browsern och servern. Hur svårt är det egentilgen att använda https stället för http

[Peetra]

Nu är det inte frågan om det är svårt eller enkelt. Men en ovan datoranvändare, som kommer in på en https-sida, som inte har betalsignum, kommer att få mess från sin webbläsare, som uppmanar en att inte gå in på sajten. Det vill vi väl inte?

Undersök gärna fria varianter av certifikat och testa, om möjligt.
Ingen ny användare behöver få skrämselhicka ifall vi har certifikat ifall det är signerat som det ska.

[Rune.K]

Nu tycker jag det verkar bli lite väl överdrivet med "säkerheten".
Hur många forum har säker inloggning?
Har man värdefullt material på ett forum så är det lämpligt att man har en egen backup på det.
Skulle någon få tag i ett adminkonto och förstör en massa, så vad jag vet så finns det backup på hela webbplatsen och då går det att återställa så gott som allt.

[m!rage]

En idé är att göra ett självsignerat certifikat, men inte använda SSL som standard. Jag menar att alla länkar fortsätter att peka mot okrypterade HTTP-anslutningar, men om en användare specifikt går in på https://ubuntu-se.org så används fulcertifikatet och anslutningen sker krypterat. De flesta kommer då inte ens veta om det, och de som gör det vet vad Firefox skrämselpropaganda innebär. Hur låter det?

[Peetra]

okej, låter inte helt dumt, hur går det till helt tekniskt sett. m!rage?