Gå til innhold

KOMMENTAR: Nå er digi.no over på HTTPS

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
LMH1

LMH1

Skrevet
Skrevet

Selv bryr jeg meg lite om dette, men morsomt å lese uansett.

Det som beskymrer meg er antall cookies som blir rapportert som spyware med superantispyware får ca 100-200 slike etter en dag med bare surfing.

 

Kanskje dere burde sikrive litt hva det kan være annonser\reklame? Da jeg tror de kan lese dette selv med kryptering.

Så uansett er kryptering ikke noe vits. Blir samme å bruke VPN i håp å bli kvitt reklame når noscript eller annet funger bedre.

  • Liker 1
Lenke til kommentar
Gravitass

Gravitass

Skrevet
Skrevet

Selv bryr jeg meg lite om dette, men morsomt å lese uansett.

Det som beskymrer meg er antall cookies som blir rapportert som spyware med superantispyware får ca 100-200 slike etter en dag med bare surfing.

 

Kanskje dere burde sikrive litt hva det kan være annonser\reklame? Da jeg tror de kan lese dette selv med kryptering.

Så uansett er kryptering ikke noe vits. Blir samme å bruke VPN i håp å bli kvitt reklame når noscript eller annet funger bedre.

 

Du kan jo installere Ghostery eller lignende, for å kunne vise hva som finnes av sporing på hver side og å kunne blokkere det ;)

  • Liker 1
Lenke til kommentar
TSP

TSP

Skrevet
Skrevet (endret)

Det er fint å se at Let's Encrypt får større og større utbredelse. Samtidig lurer jeg litt på hvorfor diskusjon.no bruker sertifikat fra GoDaddy, mens resten bruker Let's Encrypt.

 

Årsaken er at Diskusjon.no allerede hadde sertifikat fra GoDaddy (fordi vi har hatt https på innlogging) og har hatt det i flere år. Vi har bare ikke gjort noe aktivt for å bytte det ut ennå.

 

De andre sidene våre har ikke hatt sertifikater før vi flyttet til nye servere for 2-3 måneder siden. Med unntak av sidene som innloggingen har gått mot, men disse er på eget domene. 

Endret av TSP
  • Liker 1
Lenke til kommentar
pthorsheim

pthorsheim

Skrevet
Skrevet

GRATULERER SÅ MYE! Dette er kanonbra, og et stort og viktig skritt fremover for å bedre sikkerhet og personvern for lesere, kilder og ikke minst sikre både tillit og inntektsstrømmen til de ulike tjenestene som leveres av TU Media!

 

Protip: få ekstern hostingleverandør til å skru på støtte for HTTP/2 ASAP for å få raskere sidelasting!

Lenke til kommentar
Harald Brombach (digi.no)

Harald Brombach (digi.no)

Skrevet
  • Forfatter
Skrevet

GRATULERER SÅ MYE! Dette er kanonbra, og et stort og viktig skritt fremover for å bedre sikkerhet og personvern for lesere, kilder og ikke minst sikre både tillit og inntektsstrømmen til de ulike tjenestene som leveres av TU Media!

 

Protip: få ekstern hostingleverandør til å skru på støtte for HTTP/2 ASAP for å få raskere sidelasting!

 

Takk for hyggelig gratulasjon. Når det gjelder HTTP/2 venter vi visstnok på skikkelig støtte for dette i Varnish. Foreløpig er den nok litt vel eksperimentell:

 

https://www.digi.no/artikler/ti-ar-etter-starten-er-varnish-5-0-klar-til-bruk/351623

Lenke til kommentar
TSP

TSP

Skrevet
Skrevet (endret)

Mnjaaa...ikke helt https riktig enda..

Du bruker ikke standardutseendet til forumet. Det utseendet du bruker blir egentlig ikke vedlikeholdt lenger. :)

 

Jeg har likevel fikset dette.

 

Det vil uansett være enkelte tråder med brukerinnhold her i forumet som ikke vil ha grønt hengelåsikon. Årsaken er at det da inkluderes bilder fra eksterne sider som ikke har https i url.

 

Gamer.no mangler https

Gamer.no laster inn på https her.

 

Dersom du ser det er enkelte sider du ser på Gamer.no som laster inn usikkert innhold, så vil det hjelpe oss om du forteller oss hvilke.

 

Vi har oppdaget ett litt spesielt cache-problem som kanskje gjør at f.eks. Gamer.no (eller andre sider) laster inn på http i stedet for å videresende. Vi undersøker litt :) Dette skal nå være løst.

Endret av TSP
Lenke til kommentar
Horst Tappert

Horst Tappert

Skrevet
Skrevet

Som vriompeis på diskusjonsforumet setter jeg pris på dette. Oppfordrer andre vriompeiser til å også sette pris på det.

 

hva skal jeg være med på ? :):)

skulle sikkert vert enig men ,av natur, frykter jeg en dag kommer det spørsmål\melding til deg om 'hva skulle jeg sette pris på sa du ? : url://til-noe-annliggende'

 

Når det er sagt,, ser ikke hvorfor i heletatt. Krypterte nyheter pga ,, staten ikke skal vite hva digi skriver ? kommentatorene? Fungerer heller dårlig. Den eneste som ikke lenger kan se hva jeg SKRIVER på digi.no er naboen som deler \ hacker wifi nettverket mitt. Di kan fortsatt se hva slags artikkler jeg LESER, tror jeg, noe usikker på det tekniske her men,tålig. Korriger meg gjerne ? - vriompeis #2 -

  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

 

Som vriompeis på diskusjonsforumet setter jeg pris på dette. Oppfordrer andre vriompeiser til å også sette pris på det.

hva skal jeg være med på ? :):)

skulle sikkert vert enig men ,av natur, frykter jeg en dag kommer det spørsmål\melding til deg om 'hva skulle jeg sette pris på sa du ? : url://til-noe-annliggende'

 

Når det er sagt,, ser ikke hvorfor i heletatt. Krypterte nyheter pga ,, staten ikke skal vite hva digi skriver ? kommentatorene? Fungerer heller dårlig. Den eneste som ikke lenger kan se hva jeg SKRIVER på digi.no er naboen som deler \ hacker wifi nettverket mitt. Di kan fortsatt se hva slags artikkler jeg LESER, tror jeg, noe usikker på det tekniske her men,tålig. Korriger meg gjerne ? - vriompeis #2 -

 

 

Spørs hvem "di" peker til. I prinsippet, når man ikke er kompromittert, vil dette bety endel.

 

Scenario: 

Oppkobling mellom Nord-Norge til Tek-nettverket, går via Sverige fordi geografi og sånn. Gitt at kommunikasjonen ikke er kompromittert slik at du faktisk er sikkert oppkoblet til Tek-nettverket. 

 

Hvem: 

- Svensk overvåkning, jfr. FRA-loven. 

- Norsk framtidig overvåkning, jfr. Digitalt Grenseforsvar. 

- Din nettleverandør.

- Tek-nettverkets nettleverandør. 

- Eventuelt andre nettleverandører på veien. 

 

Hva kunne de sett på http:

Hver artikkel du lastet ned, og eventuelle kommentarer du lastet opp som ikke gikk over HTTPS. De kunne lage en profil av din politiske aktivitet og interesser, og manipulere det du så og leste. Og det ville vært trivielt, med lagringsplass som den største utfordringen. 

 

Hva kan de se på https: 

At du kobler til Tek-nettverket. Ikke hvilke artikler du leser, eller at det er du som skriver som Horst Tappert. Selv om den informasjonen kunne de jo ha plukket opp før HTTPS kom på plass. 

 

Hvem: 

- Tek-nettverket.

- Din fru/dine tenåringsbarn.

- Hackere som eier deg.

 

Hva kan de se nå: 

Mye det samme som før. HTTPS beskytter bare trafikken underveis. 

Endret av tommyb
Lenke til kommentar
0laf

0laf

Skrevet
Skrevet

 

Hva kunne de sett på http:

Hver artikkel du lastet ned, og eventuelle kommentarer du lastet opp som ikke gikk over HTTPS. De kunne lage en profil av din politiske aktivitet og interesser, og manipulere det du så og leste. Og det ville vært trivielt, med lagringsplass som den største utfordringen. 

 

For ordens skyld så ser man altså domenet som besøkes, men ikke nødvendigvis hele adressen.

Det man dog ser med https er størrelsen på nedlastingen, og det ville være forholdsvis trivielt for diverse etterretningsorgan (eller andre) å sjekke størrelsen på alle Digis artikler for å finne ut hvilke artikler som besøkes av hvem osv. selv med TLS.

 

Det samme gjelder forsåvidt kommentarene, de sendes over XMLHttpRequest og kan forholdsvis enkelt sammenlignes med postede kommentarer på lengde og den slags, for å finne ut hvem som har skrevet hva.

 

Https hjelper selvfølgelig på sikkerheten i enkelte tilfeller. Ting som brukernavn og passord er svært vanskelig å gjette seg frem til ved å se på krypterte data, men hele kommentarer og artikler er langt lettere å finne ut av, selv om de er kryptert.

For en nyhetsside som Digi er vel bruk av TLS mest for syns skyld, det beskytter egentlig fint lite mot de som eventuelt har kompromittert forbindelse, MiTM og den slags, det gjør bare ting et par hakk vanskeligere.

Lenke til kommentar
TSP

TSP

Skrevet
Skrevet

Det man dog ser med https er størrelsen på nedlastingen, og det ville være forholdsvis trivielt for diverse etterretningsorgan (eller andre) å sjekke størrelsen på alle Digis artikler for å finne ut hvilke artikler som besøkes av hvem osv. selv med TLS.

 

Det samme gjelder forsåvidt kommentarene, de sendes over XMLHttpRequest og kan forholdsvis enkelt sammenlignes med postede kommentarer på lengde og den slags, for å finne ut hvem som har skrevet hva.

Hvis man er logget inn vil lengden på responsen fra server kunne være forskjellig fra både andre brukere og gjester.

Lenke til kommentar
0laf

0laf

Skrevet
Skrevet (endret)

 

Hvis man er logget inn vil lengden på responsen fra server kunne være forskjellig fra både andre brukere og gjester.

 

 

Det er godt mulig, jeg får dessverre ikke sjekket det, jeg ikke får logget inn hos TEK ettersom https://auth.tek.no feiler fullstendig ?

 

Edit: slo av VPN så virker innloggingen. Min E-postadresse vises ett sted, det er eneste reelle variasjon jeg ser, menyene og den slags er vel likt for alle når de er innlogget.

 

Det gjør det litt mer komplisert, men langt fra umulig. Men det ville faktisk være mulig å gjette seg frem til lengden på e-post adressen til brukeren også, som altså er brukernavnet ved innlogging, ved å se på flere forespørsler og gjette litt på hvilke artikler brukeren ser på osv. og så sammenligne lengden i forhold til å ikke være innlogget.

 

De artiklene som ligger på forsiden av Digi er vel omtrent 99% mer besøkt enn eldre artikler osv. det er ikke spesielt vanskelig å begrense slike søk, og forskjellen i lengden på de som ligger på forsiden nå er flere tusen tegn, noe som gjør endringen på lengden ved innlogget bruker nærmest helt irrelevant for å kunne se hvilken artikkel som besøkes.

 

Det enkleste som MiTM er jo selvfølgelig bare å strippe SSL'en deres, å dytte brukeren til non-ssl sidene deres, som fremdeles er tilgjengelige, så slipper man alt denne gjettingen. 

På den andre siden er det neppe noen som er så interessert i hva som leses på Digi, at det er verdt jobben i det store hele.

Endret av adeneo
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...