Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-12-16 03:26:28

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Szyfrowany DUG po SSL

Cześć. Czy kiedyś nastanie taki dzień w którym wchodząc na forum, czy portal Debian Users Gang ujrzę magiczne https? Oczywiście, nie musi to być oficjalne wprowadzone, wystarczy że główne forum lub portal będzie dostępny przez SSL czy TLSa.Myślę że nie będzie problemu z wdrążeniem takiego rozwiązania, można wygenerować darmowy certyfikat który będzie akceptowany przez wszystkie przeglądarki, oprócz IE :) Polecam wypowiedzieć się w tym wątku i ruszyć w końcu tą administracje do roboty, która znając życie potrwa 5min. Z okazji zbliżających się świąt życzę administracji jak i całemu DUGowi wszystkiego najlepszego.

Offline

 

#2  2013-12-16 03:36:24

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

Nieprędko chyba, już była o tym mowa na forum.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2013-12-16 03:39:40

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: Szyfrowany DUG po SSL

Config apache ich przerasta, czy nie mają czasu, nawet tych pięciu minut?
Jeżeli nie mają czasu to nie można kogoś poprosić? Np. Ciebie :)
Jak już mówiłem [u]nie musi[/u] to być wprowadzone oficjalnie.

Offline

 

#4  2013-12-16 04:02:32

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

Biexi pisała o planowanym zakupie certyfikatu (o ile pamiętam), nikt nie chciał się odnieść do propozycji samodzielnie podpisanego certa.

Pozostaje też kwestia mocy obliczeniowej, jeśli np procek nie ma AES-NI czy czegoś podobnego, to szyfrowanie SSL oznacza spory narzut obliczeniowy.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2013-12-16 04:07:40

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: Szyfrowany DUG po SSL

Nie musi być, zakupiony certyfikat. Słyszałeś pewnie o StartSSL?
Procek u nich to jakiś Xeon więc musi mieć, aczkolwiek nikt tutaj nie narzuca AESa, może to być równie dobrze 3DES czy Camellia.

Offline

 

#6  2013-12-16 04:33:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

Ja słyszałem, ale to nie ja tu decyduję.

Tu masz wspomniany wątek:
http://forum.dug.net.pl/viewtopic.php?pid=143007

I nie musisz się tak strasznie denerwować.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2013-12-16 04:37:32

  womperm - Członek DUG

womperm
Członek DUG
Zarejestrowany: 2010-06-01

Re: Szyfrowany DUG po SSL

Nie, no co Ty :)
Wcale się nie denerwuje. Tylko wiesz (a na pewno wiesz) że przesyłanie danych/ich trzymanie w plain textie nie należy do dobrych rozwiązań.
Poważny portal jak DUG powinien do tego przyłożyć wagę, no ale jest jak widać...

Offline

 

#8  2013-12-16 05:40:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

Szyfrować warto tylko hasła, i panel prywatny, tzn ustawienia i wysyłanie PW.
Reszta i tak jest indeksowana przez Google, i czy prześlesz w plain czy przez szyfrowanie kluczem np ECDHE-RSA-AES256-GCM-SHA384, to i tak docelowo ląduje w necie.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2013-12-16 09:12:27

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Szyfrowany DUG po SSL

A czy przypadkiem samo forum nie powinno też obsługiwać SSL? Jeśli tak, to obawiam się, że nie przed Wielką Aktualizacją Forum™.


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#10  2013-12-16 09:48:57

  chmuri - [=Centos=]

chmuri
[=Centos=]
Skąd: Wrocław
Zarejestrowany: 2005-11-25
Serwis

Re: Szyfrowany DUG po SSL

@azhag i jeszcze powiedz że będziesz maczał palce w The Great Update Forum™ =]


[img]http://wiki.centos.org/ArtWork/Brand?action=AttachFile&do=get&target=centos-logo-light.png[/img]

Offline

 

#11  2013-12-16 09:58:01

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

SSL tutaj też by się dało zrobić, po prostu w skryptach do logowania i zapleczu prywatnym dodać sprawdzenie, czy jest ssl, i przekierowujący na ssl, po zalogowaniu, wyjazd na forum, bez ssl.

Nie jest to jakaś kosmiczna sprawa w samym php, niezależnie od tego, co jest wyrzeźbione w phpBB.
Kwestia doklejenia jednej funkcji w kilku skryptach.

Trochę po stolarsku, ale sam tak kiedyś dawno temu poprawiałem zjebanego OsCommerca, żeby nie wyskakiwał  z ssl w /admin, nawet działało.

Tak na marginesie:
Ta Wielka Aktualizacja Forum ma już jakiś przybliżony termin, czy czekamy na stabilnego FluxBB-2.0, czy może na nowy procek 16x700Ghz - który Intel ma zrobić z grafenu zamiast krzemu, w ciągu najbliższych.....? :D


EDIT:
Można też  SSL obrobić sensownie bez rzeźbienia w php, samym rewritem:
http://forum.dug.net.pl/login.php
http://forum.dug.net.pl/message_send.php
http://forum.dug.net.pl/profile.php
http://forum.dug.net.pl/message_list.php

Ewentualnie jeszcze:
http://forum.dug.net.pl/misc.php
http://forum.dug.net.pl/edit.php?id=248699
Może jeszcze ze trzy skrypty oprócz powyższych.
W sumie, jeśli  będzie jakikolwiek cert, to dalej jest bułka z masłem, praktycznie bez zaglądania do kodu php.

Do reszty wystarczy szyfrować ciasteczka.

Ostatnio edytowany przez Jacekalex (2013-12-16 11:51:08)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2013-12-16 10:59:05

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Szyfrowany DUG po SSL

No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#13  2013-12-16 11:26:29

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Szyfrowany DUG po SSL

Może ja się mylę ale jak wybierzesz protokół https to znaczy że jest szyfrowane. Jedynie co to port 443 nie znaczy że jest szyfrowane.

Ale zastanawia mnie co takiego jest tutaj pisane żeby trzeba było szyfrować połączenie? :) Czy po prostu zgodnie z ostatnim trendem szyfrujemy wszystko.

Offline

 

#14  2013-12-16 11:49:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowany DUG po SSL

[quote=azhag]No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?[/quote]
Mylisz się.
Jak Rewrite wygoni zapytanie GET na port 443, a tam wisi ssl, to jeszcze przed wysłaniem GET jest negocjowane połączenie ssl, a samo zapytanie jest wysyłane po uzgodnieniu szyfrowania między przeglądarką a serwerem.
(między  innymi dlatego nie można na Apachu w prosty sposób powiesić dwóch certów ssl na jednym IP i jednym porcie).

W ten sposób, jak jakiś skrypt przekierujesz na ssl, to on będzie leciał w szyfrowanym połączeniu niezależnie, czy tego chce, czy nie chce.

Na takiej samej zasadzie działa dodatek [url=https://addons.mozilla.org/pl/firefox/addon/force-tls/]Force-TLS[/url] do FF.

Z resztą małe demo:

Kod:

openssl s_client -connect google.pl:443

i wpisz:

Kod:

get {cośtam}

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-12-16 12:06:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.010 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00093 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='13.59.87.145' WHERE u.id=1
0.00065 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '13.59.87.145', 1732707118)
0.00060 SELECT * FROM punbb_online WHERE logged<1732706818
0.00077 DELETE FROM punbb_online WHERE ident='3.147.53.90'
0.00078 SELECT topic_id FROM punbb_posts WHERE id=248677
0.00100 SELECT id FROM punbb_posts WHERE topic_id=24834 ORDER BY posted
0.00060 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24834 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00093 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24834 ORDER BY p.id LIMIT 0,25
0.00071 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24834
Total query time: 0.00719 s