Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-12-16 03:26:28
womperm - 
Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Szyfrowany DUG po SSL
Cześć. Czy kiedyś nastanie taki dzień w którym wchodząc na forum, czy portal Debian Users Gang ujrzę magiczne https? Oczywiście, nie musi to być oficjalne wprowadzone, wystarczy że główne forum lub portal będzie dostępny przez SSL czy TLSa.Myślę że nie będzie problemu z wdrążeniem takiego rozwiązania, można wygenerować darmowy certyfikat który będzie akceptowany przez wszystkie przeglądarki, oprócz IE :) Polecam wypowiedzieć się w tym wątku i ruszyć w końcu tą administracje do roboty, która znając życie potrwa 5min. Z okazji zbliżających się świąt życzę administracji jak i całemu DUGowi wszystkiego najlepszego.
Offline
#2 2013-12-16 03:36:24
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
Nieprędko chyba, już była o tym mowa na forum.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2013-12-16 03:39:40
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: Szyfrowany DUG po SSL
Config apache ich przerasta, czy nie mają czasu, nawet tych pięciu minut?
Jeżeli nie mają czasu to nie można kogoś poprosić? Np. Ciebie :)
Jak już mówiłem nie musi to być wprowadzone oficjalnie.
Offline
#4 2013-12-16 04:02:32
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
Biexi pisała o planowanym zakupie certyfikatu (o ile pamiętam), nikt nie chciał się odnieść do propozycji samodzielnie podpisanego certa.
Pozostaje też kwestia mocy obliczeniowej, jeśli np procek nie ma AES-NI czy czegoś podobnego, to szyfrowanie SSL oznacza spory narzut obliczeniowy.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2013-12-16 04:07:40
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: Szyfrowany DUG po SSL
Nie musi być, zakupiony certyfikat. Słyszałeś pewnie o StartSSL?
Procek u nich to jakiś Xeon więc musi mieć, aczkolwiek nikt tutaj nie narzuca AESa, może to być równie dobrze 3DES czy Camellia.
Offline
#6 2013-12-16 04:33:22
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
Ja słyszałem, ale to nie ja tu decyduję.
Tu masz wspomniany wątek:
http://forum.dug.net.pl/viewtopic.php?pid=143007
I nie musisz się tak strasznie denerwować.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2013-12-16 04:37:32
womperm - Członek DUG
- womperm
- Członek DUG
- Zarejestrowany: 2010-06-01
Re: Szyfrowany DUG po SSL
Nie, no co Ty :)
Wcale się nie denerwuje. Tylko wiesz (a na pewno wiesz) że przesyłanie danych/ich trzymanie w plain textie nie należy do dobrych rozwiązań.
Poważny portal jak DUG powinien do tego przyłożyć wagę, no ale jest jak widać...
Offline
#8 2013-12-16 05:40:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
Szyfrować warto tylko hasła, i panel prywatny, tzn ustawienia i wysyłanie PW.
Reszta i tak jest indeksowana przez Google, i czy prześlesz w plain czy przez szyfrowanie kluczem np ECDHE-RSA-AES256-GCM-SHA384, to i tak docelowo ląduje w necie.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2013-12-16 09:12:27
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Szyfrowany DUG po SSL
A czy przypadkiem samo forum nie powinno też obsługiwać SSL? Jeśli tak, to obawiam się, że nie przed Wielką Aktualizacją Forum™.
Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712
Offline
#10 2013-12-16 09:48:57
chmuri - [=Centos=]
#11 2013-12-16 09:58:01
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
SSL tutaj też by się dało zrobić, po prostu w skryptach do logowania i zapleczu prywatnym dodać sprawdzenie, czy jest ssl, i przekierowujący na ssl, po zalogowaniu, wyjazd na forum, bez ssl.
Nie jest to jakaś kosmiczna sprawa w samym php, niezależnie od tego, co jest wyrzeźbione w phpBB.
Kwestia doklejenia jednej funkcji w kilku skryptach.
Trochę po stolarsku, ale sam tak kiedyś dawno temu poprawiałem zjebanego OsCommerca, żeby nie wyskakiwał z ssl w /admin, nawet działało.
Tak na marginesie:
Ta Wielka Aktualizacja Forum ma już jakiś przybliżony termin, czy czekamy na stabilnego FluxBB-2.0, czy może na nowy procek 16x700Ghz - który Intel ma zrobić z grafenu zamiast krzemu, w ciągu najbliższych.....? :D
EDIT:
Można też SSL obrobić sensownie bez rzeźbienia w php, samym rewritem:
http://forum.dug.net.pl/login.php
http://forum.dug.net.pl/message_send.php
http://forum.dug.net.pl/profile.php
http://forum.dug.net.pl/message_list.php
Ewentualnie jeszcze:
http://forum.dug.net.pl/misc.php
http://forum.dug.net.pl/edit.php?id=248699
Może jeszcze ze trzy skrypty oprócz powyższych.
W sumie, jeśli będzie jakikolwiek cert, to dalej jest bułka z masłem, praktycznie bez zaglądania do kodu php.
Do reszty wystarczy szyfrować ciasteczka.
Ostatnio edytowany przez Jacekalex (2013-12-16 11:51:08)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#12 2013-12-16 10:59:05
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Szyfrowany DUG po SSL
No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?
Błogosławieni, którzy czynią FAQ.
opencaching :: debian sources.list :: coś jakby blog :: polski portal debiana :: linux user #403712
Offline
#13 2013-12-16 11:26:29
djjanek - Użytkownik
Re: Szyfrowany DUG po SSL
Może ja się mylę ale jak wybierzesz protokół https to znaczy że jest szyfrowane. Jedynie co to port 443 nie znaczy że jest szyfrowane.
Ale zastanawia mnie co takiego jest tutaj pisane żeby trzeba było szyfrować połączenie? :) Czy po prostu zgodnie z ostatnim trendem szyfrujemy wszystko.
Offline
#14 2013-12-16 11:49:49
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Szyfrowany DUG po SSL
azhag napisał(-a):
No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?
Mylisz się.
Jak Rewrite wygoni zapytanie GET na port 443, a tam wisi ssl, to jeszcze przed wysłaniem GET jest negocjowane połączenie ssl, a samo zapytanie jest wysyłane po uzgodnieniu szyfrowania między przeglądarką a serwerem.
(między innymi dlatego nie można na Apachu w prosty sposób powiesić dwóch certów ssl na jednym IP i jednym porcie).
W ten sposób, jak jakiś skrypt przekierujesz na ssl, to on będzie leciał w szyfrowanym połączeniu niezależnie, czy tego chce, czy nie chce.
Na takiej samej zasadzie działa dodatek Force-TLS do FF.
Z resztą małe demo:
Kod:
openssl s_client -connect google.pl:443
i wpisz:
Kod:
get {cośtam}Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-12-16 12:06:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline