Bekende sites zonder https

Pengu
Pro Member
Pro Member
Berichten: 439
Lid geworden op: 28 Sep 2003

Bekende sites zonder https

Berichtdoor Pengu » 14 Feb 2017, 09:57

Ik vroeg me af hoe het mogelijk is dat er nog sites bestaan anno 2017 die nog steeds geen https aanbieden. En eigenlijk zou iedere site waar je je kan aanmelden enkel nog gebruik mogen maken van https.

Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....

Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?

butskristof
Elite Poster
Elite Poster
Berichten: 997
Lid geworden op: 19 Dec 2011
Locatie: Heist-op-den-Berg
Contact:

Re: Bekende sites zonder https

Berichtdoor butskristof » 14 Feb 2017, 10:08

Ik heb de indruk dat dikwijls de hele sessie in het algemeen inderdaad http is, maar dan bij het aanmelden even wordt overgegaan op https.

Maar inderdaad nog een hele hoop websites die gewoon geen https hebben of zelf passwords nog steeds in plain text opslaan :-( . Elke keer nog huiveringen hier wanneer ik een bevestigingsmail aankrijg waar gewoon m'n paswoord instaat.
 MacBook Pro 15" (2017) - 2,8 GHz quad core i7 - 16 GB RAM - macOS Server
 MacBook Air 13" (Mid 2014) - 1,4 GHz Dual Core i5 - 4 GB RAM - macOS Sierra
 iPhone 7 Plus 32 GB Black - iOS 11 Developer Preview
 iPad Air 2 Wi-Fi 64 GB Gold - iOS 11 Developer Preview

Pengu
Pro Member
Pro Member
Berichten: 439
Lid geworden op: 28 Sep 2003

Re: Bekende sites zonder https

Berichtdoor Pengu » 14 Feb 2017, 10:19

De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden. https://hln.be stuurt je door naar de http-variant. Idem voor Het Nieuwsblad maar bij immoweb krijg je zelfs een pagina dat ze geen https aanbieden (SSL not supported :roll: ).

cadsite
Elite Poster
Elite Poster
Berichten: 1098
Lid geworden op: 20 Jan 2015
Locatie: Kortrijk
Contact:

Re: Bekende sites zonder https

Berichtdoor cadsite » 14 Feb 2017, 10:21

Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?

CCatalyst
Elite Poster
Elite Poster
Berichten: 770
Lid geworden op: 20 Jun 2016

Re: Bekende sites zonder https

Berichtdoor CCatalyst » 14 Feb 2017, 10:36

Pengu schreef:De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden.


Het certificaat is hier nogal problematisch en een tijdbom.

cadsite schreef:Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?


Config hangt af van welke webserver/soort hosting.

Kost is gratis als je bereid bent elke 3 maand te vernieuwen. Let's Encrypt

cadsite
Elite Poster
Elite Poster
Berichten: 1098
Lid geworden op: 20 Jan 2015
Locatie: Kortrijk
Contact:

Re: Bekende sites zonder https

Berichtdoor cadsite » 14 Feb 2017, 10:46

Alvast bedankt voor deze info, ik zoek wat verder.
Mijn sites zitten bij antagonist.nl in een reseller account.

johcla
Elite Poster
Elite Poster
Berichten: 2140
Lid geworden op: 23 Mar 2009

Re: Bekende sites zonder https

Berichtdoor johcla » 14 Feb 2017, 11:25

Welke software wordt er gebruikt om de domeinen te beheren?
In Directadmin en Cpanel is let's encrypt tegenwoordig geïntegreerd en is het niet meer dan het even te aktiveren. Het hernieuwen om de 3 maanden gebeurt dan ook automatisch.

cadsite
Elite Poster
Elite Poster
Berichten: 1098
Lid geworden op: 20 Jan 2015
Locatie: Kortrijk
Contact:

Re: Bekende sites zonder https

Berichtdoor cadsite » 14 Feb 2017, 11:43

Via Directadmin, ik kijk het even na.
Bedankt!

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 25924
Lid geworden op: 28 Okt 2003

Re: Bekende sites zonder https

Berichtdoor r2504 » 14 Feb 2017, 11:50

Pengu schreef:Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....


Security is steeds een afweging tussen de waarde van de data en de effort om hem veilig te stellen.

Een bank gaat z'n data anders beveiligen dan een boekenwinkel... of de sites die je aangeeft.

Pengu schreef:Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?


Iedereen werkt tegenwoordig met netwerk switches welke de pakketjes enkel naar de poort verzenden waarvoor ze zijn... jij zal dus met je wireshark niets zien van je collega naast je (wat niet wegneemt dat mensen van je IT afdeling het wel kunnen zien).

cadsite schreef:Mijn sites zitten bij antagonist.nl in een reseller account.


Het hangt een beetje af van het feit of je dedicated hosting hebt (met een eigen IP-adres) of shared hosting (veel sites op één IP)... in de laatste geval moet de server gebruikmaken van SNI (standaard kan je slechts één SSL website draaien per IP) en je als klant de mogelijkheid krijgen dit te configureren.

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3417
Lid geworden op: 17 Nov 2009

Re: Bekende sites zonder https

Berichtdoor raf1 » 14 Feb 2017, 11:52

100% onveilige http: http://www.standaard.be/account/logon

Blijkbaar zijn er andere prioriteiten:
Mediahuis verhoogt winst met 11 procent

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4119
Lid geworden op: 16 Feb 2011

Re: Bekende sites zonder https

Berichtdoor MClaeys » 14 Feb 2017, 12:20

Bij transip bieden ze de mogelijkheid (in België) nog niet om een certificaat te importeren jammer genoeg, dus binnenkort verhuis ik men hosting zelf naar eentje dat dat wel voorziet :)
qua grote sites, gelukkig steeds minder en minder.
Xbox Live: MClaeys

Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 518
Lid geworden op: 20 Okt 2008

Re: Bekende sites zonder https

Berichtdoor James. » 14 Feb 2017, 12:52

cadsite schreef:Via Directadmin, ik kijk het even na.
Bedankt!

Antagonist is nog bezig met integratie van letsencrypt in hun aangepaste versie van directadmin. Vraag het via het forum aan voor jouw account en je krijgt de ingebouwde mogelijkheid van Antagonist zelf om letsencrypt te gebruiken. Let op, dit is nog in testfase dus enkel beschikbaar na aanvraag en goedkeuring!

Anders is het gewoon een kwestie van de CSR en het verkregen certificaat te copypasten in het juiste veld in directadmin, dat heb ik indertijd gedaan voor mijn gratis certs van StartSSL (oeps!). Binnenkort tijd voor wat anders dus.

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4119
Lid geworden op: 16 Feb 2011

Re: Bekende sites zonder https

Berichtdoor MClaeys » 14 Feb 2017, 13:29

Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webhosting/security/ssl?s=ssl
Xbox Live: MClaeys

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 25924
Lid geworden op: 28 Okt 2003

Re: Bekende sites zonder https

Berichtdoor r2504 » 14 Feb 2017, 13:33

Als je Let's Encrypt wil gebruiken zonder dat je de tool kan installeren... https://gethttpsforfree.com/

cadsite
Elite Poster
Elite Poster
Berichten: 1098
Lid geworden op: 20 Jan 2015
Locatie: Kortrijk
Contact:

Re: Bekende sites zonder https

Berichtdoor cadsite » 14 Feb 2017, 13:43

MClaeys schreef:Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webhosting/security/ssl?s=ssl

Dat had ik ook gevonden, maar om eerlijk te zijn, dit is voor mij zowat allemaal chinees. (of toch zeker Spaans :angel: )

Als https maar een kwestie van wat klikken in een admin panel is, wat is de meerwaarde er dan van?


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast