Forum Debian Users Gang

[quote=MrWarum]Pytanie jak w temacie, czy jest możliwe dodanie do forum logowania z szyfrowaniem SSL?[/quote]
Do tego forum?
I pytanie z czystej ciekawosci po co ? :)

Niestety nie widzę takiej możliwości dla obecnej wersji forum.

W dobrze mi znanym, nawet ciemnym, lesie czuję się bardzo dobrze. :)

Czy jest jakaś szansa żeby uruchomić na forum HTTPS?

Czasami mam chwilę wolnego i chciałbym zerknąć co tam na DUG-u tylko że korzystam z hotspotów i wolę żeby hasło nie hulało po eterze.

Wiem mogę zrobić tunel po SSH ale bywam leniwy :) Taki HTTPS by mocno ułatwił sprawę :)

Można gdzieś za darmo dostać podpisany SSL?

[url]https://www.startssl.com/?app=0[/url]
Class 1 jest za darmo. Na jeden rok, odnawialny.

Ale nie jestem pewien jak ma się sprawa w przypadku poddomen. No i oczywiście wziąć go mogą tylko osoby prywatne, ale w przypadku DUG-a to chyba nie jest problem.

Czy aby logowanie nie musi współpracować z SSL-em?

Po co ssl do rzeczy, które i tak wiszą w Google?

Jeśli miałoby być ssl. to jedynie do logowania, i ewentualnie panel użyszkodnika i prywatne wiadomości.

Reszta, czy z ssl czy bez ssl i tak będzie widoczna dla każdego, kto chce i nie ma w niej nic tajnego.

Poza tym czy trzeba wykupywac certyfikat?
Ja tam potrafię zaakceptować cert prywatny bez specjalnego uwierzytelnienia, nie mam z tym kłopotu, wszystkie przeglądarki to potrafią.

[url=http://ompldr.org/vZDdhYQ][img]http://ompldr.org/tZDdhYQ[/img][/url]
Jak widać, dziala ;)

Natomiast do podniesienia bezpieczeństwa zalogowanego pacjenta można szyfrować ciasteczka i klucz sesji, co jest  do włączenia w konfigu np  [url=http://www.hardened-php.net/suhosin/configuration.html]suhosina[/url], w  samym php też jest wykonalne,  na poziomie kodu.

Sznurki:
http://www.hardened-php.net/suhosin/configuration.html#suhosin.cookie.encrypt
http://www.hardened-php.net/suhosin/configuration.html#suhosin.session.encrypt

I nie kosztuje >300+VAT  rocznie, jak certyfikat wildcard obejmujący domenę i subdomeny.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-30 19:20:40)

Kupowanie certu, to moim zdanien strata czasu i kasy.
Chyba, że jakąś komercyjną działalność otwierasz, i dane osobowe będziesz przechowywać ;)

Normalnie przede wszystkim szyfrowane ciasteczka (do zrobienia w php), i prywatny cert do samego logowania i Profilu, razem 2 zakładki, może jeszcze Wiadomości, choć już  nie koniecznie.

A jak masz kilka zbędnych stówek, to Julce się bardziej przydadzą.

Certyfikat Dugowego jabbera wszyscy akceptowali, i przeważnie przeżyli tą straszną trudność.
O ile mi wiadomo, z powodu 3 kliknięć nikomu korona z głowy nie spadła. :D

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-03-31 15:18:09)

Oj tam, zaraz krytyka ;)

Jak cert potrzebny do poczty czy czegokolwiek, to droga wolna.
A ja rzeczywiście ani alfą nie jestem, ani omegą, w ogóle z greckim alfabetem nic mnie nie łączy.

Ja po prostu zastanawiam się, czy rzeczywiście komercyjny cert jest potrzebny.

Pozdrawiam
;-)

[quote=paoolo]...Faktem jest, że na stronę, gdzie trzeba dodawać tzw. wyjątek bezpieczeństwa nikt nie wejdzie, ...[/quote]
A byś się zdziwił ile rządowych stron tak ma. Nie wiem, ale chyba *.gov.pl z tego słynie. Przykład -> Trezor, Ministerstwo Finansów się kłania.

Jesli chodzi o serwerek pocztowy, to bez żadnego komercyjnego certu gadał sobie z Gmailem, Tlenen i wieloma  innymi po ssl, bez problemu.
I żadnych skarg nigdy nie było.

Jeśli chodzi o http, to radziłbym ograniczyć do strony logowania i zaplecza prywatnego (profil, edycja ustawień), a dla całej reszty forum tylko włączyć szyfrowanie ciasteczek, żeby nie dało się łatwo przejąć sesji zalogowanego użytkownika.

W php jest parę opcji do takiego rozwiązania, i jest to realizowane z poziomu php, bez żadnego ssl i żadnego certu.

A przecież na Dugu raczej się znamy,  i cert uwierzytelniony przez Dug nie byłby raczej jakimś problemem.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-12-16 04:31:50)