Meddelande

Minska
No announcement yet.

wF + SSL?

Minska
X
 
  • Filter
  • Klockan
  • Show
Clear All
new posts

  • wF + SSL?

    Såhär i övervakningstider, finns det planer på att wF kommer att erbjuda sina medlammar krypterad data? (Mest bara för att.)

    10-4 over.
    The 50-50-90 rule: Anytime you have a 50-50 chance of getting something right, there's a 90% probability you'll get it wrong.

  • #2
    Beklagar ett sent svar.

    Nej i dagsläget har det inte diskuterats att erbjuda medlemmarna krypterad data.

    Tänk om man räknade dyktid i hur långt bubblorna man blåst under ett dyk färdats till ytan... Undrar hur långt jag har dykt då?

    Min blogg | Mina Flickr bilder | Jag på fejjan | Canonforum

    Kommentera


    • #3
      M.Cheraghi skrev:
      Såhär i övervakningstider, finns det planer på att wF kommer att erbjuda sina medlammar krypterad data? (Mest bara för att.)

      10-4 over.
      I vilket sammanhang saknar du SSL?

      Ditt lösenord skickas inte okrypterat över nätet eftersom det hashas på din klient innan det går iväg över nätet.

      Kommentera


      • #4
        Patrik skrev:
        I vilket sammanhang saknar du SSL?
        Antar att han tänker på vilka inlägg man läser eftersom det är det enda jag kommer på som det skulle skydda mot.

        Kommentera


        • #5
          Nej, han vill ju kryptera alla inlägg så att oregistrerade medlemmar bara ser rappakalja.
          Silfver Creations

          Kommentera


          • #6
            Patrik skrev:
            I vilket sammanhang saknar du SSL?

            Ditt lösenord skickas inte okrypterat över nätet eftersom det hashas på din klient innan det går iväg över nätet.

            Fast för mig är det bara en falsk känsla av säkerhet. En sniffning plockar ju upp det hashade lösenordet och en angripare kan då replaya det mot inloggningssidan och på så sätt komma in.
            Min alldeles egna directory listing.

            Kommentera


            • #7
              colione skrev:
              Fast för mig är det bara en falsk känsla av säkerhet. En sniffning plockar ju upp det hashade lösenordet och en angripare kan då replaya det mot inloggningssidan och på så sätt komma in.
              Dessutom finns det drösvis med program som kan användas för att knäcka en osaltad MD5-hash, så det är egentligen ingen säkerhet alls. Är man tillräckligt kompetent för att sniffa ett lösenord, är man tillräckligt kompetent för att hitta såna program.
              Vissa dagar är man asfalten, andra dagar är man ångvälten.
              Vissa dagar är man myggan, andra dagar är man vindrutan.

              XML är som våld; löser det inte ens problem betyder det att man använder för lite.

              Kommentera


              • #8
                spango skrev:
                Dessutom finns det drösvis med program som kan användas för att knäcka en osaltad MD5-hash,
                Ja, jag det till och med online på min hemsida:

                http://www.tydal.nu/article/md5-crack/

                Men i det här fallet behövs det ju ändå inte för att logga in eftersom man loggar in med hashen och inte lösenordet. Det är ju bara om man vill logga in på andra ställen där man tror att personen har samma lösenord som man behöver knäcka det.

                Kommentera


                • #9
                  spango skrev:
                  Dessutom finns det drösvis med program som kan användas för att knäcka en osaltad MD5-hash, så det är egentligen ingen säkerhet alls. Är man tillräckligt kompetent för att sniffa ett lösenord, är man tillräckligt kompetent för att hitta såna program.

                  Jag hade faktiskt tänkt skriva det också. Men det finns ju en möjlighet, om än liten att den skulle hashas på sidan som tar mot den hashet och då med salt. Inte för att det är troligt dock.
                  Min alldeles egna directory listing.

                  Kommentera


                  • #10
                    colione skrev:
                    Inte för att det är troligt dock.
                    Och inte för att det gör nån skillnad, eftersom det ändå är den osaltade hashen som angripare kommer använda, oavsett hur salt den är på mottagarsidan
                    Vissa dagar är man asfalten, andra dagar är man ångvälten.
                    Vissa dagar är man myggan, andra dagar är man vindrutan.

                    XML är som våld; löser det inte ens problem betyder det att man använder för lite.

                    Kommentera


                    • #11
                      spango skrev:
                      Och inte för att det gör nån skillnad, eftersom det ändå är den osaltade hashen som angripare kommer använda, oavsett hur salt den är på mottagarsidan
                      Sannerligen. Skyller på trötthet.
                      Min alldeles egna directory listing.

                      Kommentera


                      • #12
                        Frågan kvarstår, i vilka sammanhang saknar du SSL?

                        Det går visserligen att lägga på SSL vid inloggning (vilket jag kan tycka att vi skall göra), men jag funderade på om det kanske var av någon annan anledning?

                        Kommentera


                        • #13
                          Patrik skrev:
                          Frågan kvarstår, i vilka sammanhang saknar du SSL?

                          Det går visserligen att lägga på SSL vid inloggning (vilket jag kan tycka att vi skall göra), men jag funderade på om det kanske var av någon annan anledning?
                          Självklart för att försvåra för en eventuell avlyssnare som befinner sig på någon nod längs med vägen från klient till webForum att samla information kring användarens aktiviteter.

                          Kommentera


                          • #14
                            Ja, det kan man givetvis tänka sig. Men det är väl relativt ovanligt på öppna forum där allt ändå indexeras av sökmotorer?

                            Kommentera


                            • #15
                              Patrik skrev:
                              Ja, det kan man givetvis tänka sig. Men det är väl relativt ovanligt på öppna forum där allt ändå indexeras av sökmotorer?
                              Jo, fast sökmotorernas indexering kan ju inte ge en övervakare information om vilka trådar jag läser, något som man däremot lätt kan ta reda på om man har möjlighet att avlyssna den okrypterade HTTP-trafiken.

                              Flashback.info kör https t.ex.

                              Kommentera

                              Working...
                              X