Archief - Verisign SSL

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
D

Dubbelpunt

Legacy Member
Indien men geen online betalingen kan uitvoeren op je website, is dan een Verisign SSL certificaat nog nodig? Is een SSL certificaat ook nuttig om alle andere activiteiten op je site te beveiligen? Moet de registratie pagina bv op een https pagina? Waarom wel? Waarom niet?

eBay: moeten deze pagina's niet allemaal op https? De informatie dat userX een bod heeft geplaatst van xxx EUR op itemY moet toch beveiligd zijn? Een hacker kan toch niet met deze informatie gaan lopen? Of begrijp ik dit systeem helemaal verkeerd?
R

RpR

Legacy Member
HTTPS met een niet globalsign certificaat zal ook encryptie doen. Bv met een self signed certificaat. Nadeel aan self signed certificaten is dat de gebruiker de ondertekener moet vertrouwen want adhv van beide certificaten kan het verkeer worden gedecrypteerd.

En wat is een hacker met de info dat ik bv een bod van 20 euro doe op een harde schijf?
Neen een hacker wilt iets waarmee hij geld kan verdienen. Bv CC kaart gegevens.
D

Dubbelpunt

Legacy Member
Dus een registratie pagina op https is nutteloos en niets anders dan een waste of money? Wat met pagina's die enkel te zien zijn na login? Moeten deze op https?
S

Slicer

Legacy Member
https zorgt ervoor dat alle communicatie tussen client en server geëncrypteerd verloopt. Iemand die de data snift kan de inhoud niet lezen.

Zeker bij inloggen is dat handig omdat anders je login gegevens leesbaar over het internet gaan.
m

massoo

Legacy Member
Das is waar slicer, maar tegenwoordig wordt er ook gefocussed op BiM attacks i p v MiM attacks. (Browser in the middle || Man in the Middle ).

Dus ze gaan je wachtwoord en dergelijke proberen te retrieven alvorens men submit
D

Dubbelpunt

Legacy Member
Wat is dan de oplossing? Moet de login pagina zélf dan ook op https?
8

8bitmonkey

Legacy Member
Alles HTTPS waar gevoelige info doorgestuurd kan worden. (login / password / CC /) ..

- Registratiepagina
- Login pagina
- pagina's waar verrichtingen gebeuren
- ...
S

Slicer

Legacy Member
massoo zei:
Das is waar slicer, maar tegenwoordig wordt er ook gefocussed op BiM attacks i p v MiM attacks. (Browser in the middle || Man in the Middle ).

Dus ze gaan je wachtwoord en dergelijke proberen te retrieven alvorens men submit
Klik om te vergroten...
@massoo daar helpt inderdaad geen https tegen. Maar dat kun je evengoed zeggen van een keylogger geïnstalleerd op de client pc. De gebruiker zelf heeft ook verantwoordelijkheid om zijn machine clean te houden (virusscanner, up-to-date houden van software).

SSL dient voor één ding, de data die verzonden wordt tussen client en server encrypteren zodat men niet weet wat er wordt verzonden. Aan client en server zijde kunnen nog steeds andere aanvalsmethoden gebruikt worden.

SSL helpt bvb tegen de firesheep extension die wireless networks snift naar inlog gegevens van bekende sites waarna je gewoon als die persoon kunt inloggen (of gewoon cookie theft, is vaak al voldoende)
B

Bartvb

Legacy Member
Let erop dat een certificaat die ge zelf ondertekend en dus niet in de root certificates van MSIE of FireFox zit, een warning zal triggeren in die browsers eenmaal ze op uw https server komen.

Is voor veel mensen genoeg om uw site niet te vertrouwen vooral, maar niet alleen, als ge betalingen doet.

Bij ons op 't werk hebben ze VeriSign SSL's, nu zelfs ene met de fameuse "green bar", en we moeten erop toezien dat die niet vervallen. De mensen hechten blijkbaar ook veel vertrouwen aan dat "VeriSign Trusted" logo, alhoewel dat iedereen dat op z'n site kan zetten, ook zonder certificaat, en dat dus eigenlijk niets zegt.
m

menace2070

Legacy Member
je kan ook gratis SSL certs bekomen, die ook trusted zijn: startssl
D

Dubbelpunt

Legacy Member
Al was het alleen maar om onze gebruikers méér vertrouwen te geven (trust is belangrijk voor ons), gaan we zo'n certificaat aankopen. Die groene adresbalk en het VeriSign logo naast uw link op google staan me wel aan. Dit oogt mooi voor nieuwe gebruikers. Nu krijg ik van hun te horen dat dit het beste zou zijn voor ons:
Secure Site Pro with EV: True 128-bit Extended Validation SSL - Product Description - SSL and SSL Certificates from VeriSign, Inc.

Niet toevallig hun duurste pakket + 1500eur ieder jaar vind ik wel wat veel.
Wat denken jullie over hun andere aanbiedingen?
Buy SSL Certificates - VeriSign SSL Certificate from VeriSign, Inc.




Bartvb zei:
Let erop dat een certificaat die ge zelf ondertekend en dus niet in de root certificates van MSIE of FireFox zit, een warning zal triggeren in die browsers eenmaal ze op uw https server komen.

Is voor veel mensen genoeg om uw site niet te vertrouwen vooral
Klik om te vergroten...

Dit mag inderdaad nooit gebeuren. Hopelijk is dit het geval met die VeriSign SSL certificaten?
("Bent u zeker dat u deze pagina wil bezoeken? Bent u zeker dat u wil doorgaan?")
D

Dubbelpunt

Legacy Member
Vlug vraagje (ik ga hiervoor geen nieuw topic openen): mijn gmail toont de eerste seconde https in het groen, maar nadien verandert dit naar https in het rood (met een schuine streep er door).


Deze pagina bevat ook bronnen die niet beveiligd zijn. Deze bronnen kunnen tijdens verzending door anderen worden bekeken en kunnen door een aanvaller worden gewijzigd om het gedrag van de pagina aan te passen.

=> euhm, WTF?
=> wat kan ik hier aan doen?
=> ik gebruik gmail onder andere om te solliciteren dus ik had dit graag opgelost gezien
=> in het verleden (al ettelijke jaren) heb ik mijn online gmail nog nooit gezien met https in het rood


*edit : na een reboot (1 dag later) heb ik dit niet meer
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan