Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[quote=MrWarum]Pytanie jak w temacie, czy jest możliwe dodanie do forum logowania z szyfrowaniem SSL?[/quote]
Do tego forum?
I pytanie z czystej ciekawosci po co ? :)
Offline
Niestety nie widzę takiej możliwości dla obecnej wersji forum.
Offline
W dobrze mi znanym, nawet ciemnym, lesie czuję się bardzo dobrze. :)
Offline
jezeli jest szyfrowanie md5 w bazie to jest rozwiazanie, mam maly skrypcik js ktory szyfruje haslo przed wyslaniem do md5. dziala poprawnie bo sam sprawdzalem i uzywam
Offline
Czy jest jakaś szansa żeby uruchomić na forum HTTPS?
Czasami mam chwilę wolnego i chciałbym zerknąć co tam na DUG-u tylko że korzystam z hotspotów i wolę żeby hasło nie hulało po eterze.
Wiem mogę zrobić tunel po SSH ale bywam leniwy :) Taki HTTPS by mocno ułatwił sprawę :)
Offline
No to ja też dołączę do prośby. Pokażmy, że też możemy :)
Offline
Kiedyś zapisałem w zakładkach:
1. [url]https://www.startssl.com/?app=39[/url]
2. [url]http://www.cacert.org/[/url]
ale nigdy tego nie zgłębiałem.
Offline
[url]https://www.startssl.com/?app=0[/url]
Class 1 jest za darmo. Na jeden rok, odnawialny.
Ale nie jestem pewien jak ma się sprawa w przypadku poddomen. No i oczywiście wziąć go mogą tylko osoby prywatne, ale w przypadku DUG-a to chyba nie jest problem.
Offline
wykupujesz certyfikat dla .dug.net.pl i masz na subdomeny, zasada jest taka że jednym IP możesz mieć wiele vhostów ssl, ale na jednym certyfikacie.
Offline
Czy aby logowanie nie musi współpracować z SSL-em?
Offline
milyges: ja nic nie wykupuję, ponieważ ja nie jestem a zespole administracyjnym DUG-a ;) .
Chodziło mi raczej o poinformowanie, że być może oferta StartSSL nie będzie wystarczająca w stosunku do potrzeb DUG-a.
Offline
Po co ssl do rzeczy, które i tak wiszą w Google?
Jeśli miałoby być ssl. to jedynie do logowania, i ewentualnie panel użyszkodnika i prywatne wiadomości.
Reszta, czy z ssl czy bez ssl i tak będzie widoczna dla każdego, kto chce i nie ma w niej nic tajnego.
Poza tym czy trzeba wykupywac certyfikat?
Ja tam potrafię zaakceptować cert prywatny bez specjalnego uwierzytelnienia, nie mam z tym kłopotu, wszystkie przeglądarki to potrafią.
[url=http://ompldr.org/vZDdhYQ][img]http://ompldr.org/tZDdhYQ[/img][/url]
Jak widać, dziala ;)
Natomiast do podniesienia bezpieczeństwa zalogowanego pacjenta można szyfrować ciasteczka i klucz sesji, co jest do włączenia w konfigu np [url=http://www.hardened-php.net/suhosin/configuration.html]suhosina[/url], w samym php też jest wykonalne, na poziomie kodu.
Sznurki:
http://www.hardened-php.net/suhosin/configuration.html#suhosin.cookie.encrypt
http://www.hardened-php.net/suhosin/configuration.html#suhosin.session.encrypt
I nie kosztuje >300+VAT rocznie, jak certyfikat wildcard obejmujący domenę i subdomeny.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-03-30 19:20:40)
Offline
Już od jakiegoś czasu noszę się z zakupem certyfikatu dla dug'a ale jak to wiadomo jak człowieka z kasą przyciśnie to nie wyskrobie a to jest ju ż większy wydatek jak za domenę :P
Jak odzyskam płynność to pewnie zapodam coś :]
Offline
Kupowanie certu, to moim zdanien strata czasu i kasy.
Chyba, że jakąś komercyjną działalność otwierasz, i dane osobowe będziesz przechowywać ;)
Normalnie przede wszystkim szyfrowane ciasteczka (do zrobienia w php), i prywatny cert do samego logowania i Profilu, razem 2 zakładki, może jeszcze Wiadomości, choć już nie koniecznie.
A jak masz kilka zbędnych stówek, to Julce się bardziej przydadzą.
Certyfikat Dugowego jabbera wszyscy akceptowali, i przeważnie przeżyli tą straszną trudność.
O ile mi wiadomo, z powodu 3 kliknięć nikomu korona z głowy nie spadła. :D
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-03-31 15:18:09)
Offline
Jacekalex - Od razu krytyka a nie wiesz do czego mi ten cert potrzebny :P (poczta). Julce pomagam finansowo co miesiąc więc tego tematu też nie poruszaj... I uświadom sobie że nie jesteś alfą i omegą...
Offline
Oj tam, zaraz krytyka ;)
Jak cert potrzebny do poczty czy czegokolwiek, to droga wolna.
A ja rzeczywiście ani alfą nie jestem, ani omegą, w ogóle z greckim alfabetem nic mnie nie łączy.
Ja po prostu zastanawiam się, czy rzeczywiście komercyjny cert jest potrzebny.
Pozdrawiam
;-)
Offline
Hm, a musi być podpisany certyfikat? Wystarczy by było szyfrowanie połączenia. Faktem jest, że na stronę, gdzie trzeba dodawać tzw. wyjątek bezpieczeństwa nikt nie wejdzie, ale ile to stron w ten sposób działa, np. uczelnia o trzech literkach miała długi czas przez samych siebie podpisywane certyfikaty. Trochę lipnie, bo ich nie trzeba nawet podpisywać. A przecież chyba nikt nie zrobi żartu i nie zrobi jakiegoś ataku na forum, tylko celem zdobycia paru haseł, osób które akurat się zalogują w ten dzień, bo większość na ciastkach jedzie.
A przy okazji - czy Apache 2 pozwala na SSL na porcie 80. Szukałem tego kiedyś, ale nie byłem w stanie wykonać.
Offline
[quote=paoolo]...Faktem jest, że na stronę, gdzie trzeba dodawać tzw. wyjątek bezpieczeństwa nikt nie wejdzie, ...[/quote]
A byś się zdziwił ile rządowych stron tak ma. Nie wiem, ale chyba *.gov.pl z tego słynie. Przykład -> Trezor, Ministerstwo Finansów się kłania.
Offline
Hm, nie doczytałem tego co BiExi pisała, że będzie jej jeszcze do czegoś potrzebny ten cert :)
Offline
Jesli chodzi o serwerek pocztowy, to bez żadnego komercyjnego certu gadał sobie z Gmailem, Tlenen i wieloma innymi po ssl, bez problemu.
I żadnych skarg nigdy nie było.
Jeśli chodzi o http, to radziłbym ograniczyć do strony logowania i zaplecza prywatnego (profil, edycja ustawień), a dla całej reszty forum tylko włączyć szyfrowanie ciasteczek, żeby nie dało się łatwo przejąć sesji zalogowanego użytkownika.
W php jest parę opcji do takiego rozwiązania, i jest to realizowane z poziomu php, bez żadnego ssl i żadnego certu.
A przecież na Dugu raczej się znamy, i cert uwierzytelniony przez Dug nie byłby raczej jakimś problemem.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-12-16 04:31:50)
Offline
Bodzio, bo wiele gov.pl ma systemy BTUU i własne ośrodki certyfikacji, żeby zachowac spójność front-end z back-end nie moga sobie pozwolić na kombinowanie z oddzielnymi certyfikatami i wystawcami głównymi. To się prosi o wysypanie systemu.
Offline
Time (s) | Query |
---|---|
0.00014 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00102 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.58.158' WHERE u.id=1 |
0.00069 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.58.158', 1732244897) |
0.00044 | SELECT * FROM punbb_online WHERE logged<1732244597 |
0.00063 | DELETE FROM punbb_online WHERE ident='185.191.171.15' |
0.00063 | DELETE FROM punbb_online WHERE ident='185.191.171.6' |
0.00079 | DELETE FROM punbb_online WHERE ident='3.147.51.75' |
0.00079 | DELETE FROM punbb_online WHERE ident='66.249.66.72' |
0.00079 | SELECT topic_id FROM punbb_posts WHERE id=143012 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=16363 ORDER BY posted |
0.00081 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16363 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00326 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16363 ORDER BY p.id LIMIT 0,25 |
0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16363 |
Total query time: 0.01107 s |