Ik vroeg me af hoe het mogelijk is dat er nog sites bestaan anno 2017 die nog steeds geen https aanbieden. En eigenlijk zou iedere site waar je je kan aanmelden enkel nog gebruik mogen maken van https.
Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....
Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?
Bekende sites zonder https
-
- Elite Poster
- Berichten: 997
- Lid geworden op: 19 Dec 2011
- Locatie: Heist-op-den-Berg
- Contact:
Re: Bekende sites zonder https
Ik heb de indruk dat dikwijls de hele sessie in het algemeen inderdaad http is, maar dan bij het aanmelden even wordt overgegaan op https.
Maar inderdaad nog een hele hoop websites die gewoon geen https hebben of zelf passwords nog steeds in plain text opslaan
. Elke keer nog huiveringen hier wanneer ik een bevestigingsmail aankrijg waar gewoon m'n paswoord instaat.
Maar inderdaad nog een hele hoop websites die gewoon geen https hebben of zelf passwords nog steeds in plain text opslaan

MacBook Pro 15" (2017) - 2,8 GHz quad core i7 - 16 GB RAM - macOS Server
MacBook Air 13" (Mid 2014) - 1,4 GHz Dual Core i5 - 4 GB RAM - macOS Sierra
iPhone 7 Plus 32 GB Black - iOS 11 Developer Preview
iPad Air 2 Wi-Fi 64 GB Gold - iOS 11 Developer Preview
MacBook Air 13" (Mid 2014) - 1,4 GHz Dual Core i5 - 4 GB RAM - macOS Sierra
iPhone 7 Plus 32 GB Black - iOS 11 Developer Preview
iPad Air 2 Wi-Fi 64 GB Gold - iOS 11 Developer Preview
Re: Bekende sites zonder https
De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden. https://hln.be stuurt je door naar de http-variant. Idem voor Het Nieuwsblad maar bij immoweb krijg je zelfs een pagina dat ze geen https aanbieden (SSL not supported
).

Re: Bekende sites zonder https
Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?
Re: Bekende sites zonder https
Pengu schreef:De sites hierboven bieden zelfs helemaal géén https aan.... dus dan heb je niet eens de keuze. Gelukkig heb je hier op userbase wél de keuze (https://userbase.be) al vind ik dat het een verplichting zou moeten worden.
Het certificaat is hier nogal problematisch en een tijdbom.
cadsite schreef:Help je even een leek?
Mijn site is ook gewoon http en heeft een forum, dus inloggegevens.
Wat zijn de extra kosten en werk?
Config hangt af van welke webserver/soort hosting.
Kost is gratis als je bereid bent elke 3 maand te vernieuwen. Let's Encrypt
Re: Bekende sites zonder https
Alvast bedankt voor deze info, ik zoek wat verder.
Mijn sites zitten bij antagonist.nl in een reseller account.
Mijn sites zitten bij antagonist.nl in een reseller account.
Re: Bekende sites zonder https
Welke software wordt er gebruikt om de domeinen te beheren?
In Directadmin en Cpanel is let's encrypt tegenwoordig geïntegreerd en is het niet meer dan het even te aktiveren. Het hernieuwen om de 3 maanden gebeurt dan ook automatisch.
In Directadmin en Cpanel is let's encrypt tegenwoordig geïntegreerd en is het niet meer dan het even te aktiveren. Het hernieuwen om de 3 maanden gebeurt dan ook automatisch.
Re: Bekende sites zonder https
Pengu schreef:Ik heb het bijvoorbeeld over sites zoals hln.be, immoweb.be, nieuwsblad.be, enz....
Security is steeds een afweging tussen de waarde van de data en de effort om hem veilig te stellen.
Een bank gaat z'n data anders beveiligen dan een boekenwinkel... of de sites die je aangeeft.
Pengu schreef:Ik zou toch perfect met wireshark in "plain text" de wachtwoorden moeten kunnen zien als iemand zich tracht aan te melden op één van die sites op het lokale netwerk? Of zie ik iets over het hoofd?
Iedereen werkt tegenwoordig met netwerk switches welke de pakketjes enkel naar de poort verzenden waarvoor ze zijn... jij zal dus met je wireshark niets zien van je collega naast je (wat niet wegneemt dat mensen van je IT afdeling het wel kunnen zien).
cadsite schreef:Mijn sites zitten bij antagonist.nl in een reseller account.
Het hangt een beetje af van het feit of je dedicated hosting hebt (met een eigen IP-adres) of shared hosting (veel sites op één IP)... in de laatste geval moet de server gebruikmaken van SNI (standaard kan je slechts één SSL website draaien per IP) en je als klant de mogelijkheid krijgen dit te configureren.
Re: Bekende sites zonder https
100% onveilige http: http://www.standaard.be/account/logon
Blijkbaar zijn er andere prioriteiten:
Mediahuis verhoogt winst met 11 procent
Blijkbaar zijn er andere prioriteiten:
Mediahuis verhoogt winst met 11 procent
Re: Bekende sites zonder https
Bij transip bieden ze de mogelijkheid (in België) nog niet om een certificaat te importeren jammer genoeg, dus binnenkort verhuis ik men hosting zelf naar eentje dat dat wel voorziet 
qua grote sites, gelukkig steeds minder en minder.

qua grote sites, gelukkig steeds minder en minder.
Xbox Live: MClaeys
Re: Bekende sites zonder https
cadsite schreef:Via Directadmin, ik kijk het even na.
Bedankt!
Antagonist is nog bezig met integratie van letsencrypt in hun aangepaste versie van directadmin. Vraag het via het forum aan voor jouw account en je krijgt de ingebouwde mogelijkheid van Antagonist zelf om letsencrypt te gebruiken. Let op, dit is nog in testfase dus enkel beschikbaar na aanvraag en goedkeuring!
Anders is het gewoon een kwestie van de CSR en het verkregen certificaat te copypasten in het juiste veld in directadmin, dat heb ik indertijd gedaan voor mijn gratis certs van StartSSL (oeps!). Binnenkort tijd voor wat anders dus.
Re: Bekende sites zonder https
Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webhosting/security/ssl?s=ssl
Xbox Live: MClaeys
Re: Bekende sites zonder https
Als je Let's Encrypt wil gebruiken zonder dat je de tool kan installeren... https://gethttpsforfree.com/
Re: Bekende sites zonder https
MClaeys schreef:Ze leggen het eigenlijk ook best goed uit op hun site: https://www.antagonist.nl/help/nl/webhosting/security/ssl?s=ssl
Dat had ik ook gevonden, maar om eerlijk te zijn, dit is voor mij zowat allemaal chinees. (of toch zeker Spaans

Als https maar een kwestie van wat klikken in een admin panel is, wat is de meerwaarde er dan van?
Wie is er online
Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten