Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Cześć. Czy kiedyś nastanie taki dzień w którym wchodząc na forum, czy portal Debian Users Gang ujrzę magiczne https? Oczywiście, nie musi to być oficjalne wprowadzone, wystarczy że główne forum lub portal będzie dostępny przez SSL czy TLSa.Myślę że nie będzie problemu z wdrążeniem takiego rozwiązania, można wygenerować darmowy certyfikat który będzie akceptowany przez wszystkie przeglądarki, oprócz IE :) Polecam wypowiedzieć się w tym wątku i ruszyć w końcu tą administracje do roboty, która znając życie potrwa 5min. Z okazji zbliżających się świąt życzę administracji jak i całemu DUGowi wszystkiego najlepszego.
Offline
Nieprędko chyba, już była o tym mowa na forum.
Offline
Config apache ich przerasta, czy nie mają czasu, nawet tych pięciu minut?
Jeżeli nie mają czasu to nie można kogoś poprosić? Np. Ciebie :)
Jak już mówiłem [u]nie musi[/u] to być wprowadzone oficjalnie.
Offline
Biexi pisała o planowanym zakupie certyfikatu (o ile pamiętam), nikt nie chciał się odnieść do propozycji samodzielnie podpisanego certa.
Pozostaje też kwestia mocy obliczeniowej, jeśli np procek nie ma AES-NI czy czegoś podobnego, to szyfrowanie SSL oznacza spory narzut obliczeniowy.
Offline
Nie musi być, zakupiony certyfikat. Słyszałeś pewnie o StartSSL?
Procek u nich to jakiś Xeon więc musi mieć, aczkolwiek nikt tutaj nie narzuca AESa, może to być równie dobrze 3DES czy Camellia.
Offline
Ja słyszałem, ale to nie ja tu decyduję.
Tu masz wspomniany wątek:
http://forum.dug.net.pl/viewtopic.php?pid=143007
I nie musisz się tak strasznie denerwować.
Offline
Nie, no co Ty :)
Wcale się nie denerwuje. Tylko wiesz (a na pewno wiesz) że przesyłanie danych/ich trzymanie w plain textie nie należy do dobrych rozwiązań.
Poważny portal jak DUG powinien do tego przyłożyć wagę, no ale jest jak widać...
Offline
Szyfrować warto tylko hasła, i panel prywatny, tzn ustawienia i wysyłanie PW.
Reszta i tak jest indeksowana przez Google, i czy prześlesz w plain czy przez szyfrowanie kluczem np ECDHE-RSA-AES256-GCM-SHA384, to i tak docelowo ląduje w necie.
Offline
A czy przypadkiem samo forum nie powinno też obsługiwać SSL? Jeśli tak, to obawiam się, że nie przed Wielką Aktualizacją Forum™.
Offline
SSL tutaj też by się dało zrobić, po prostu w skryptach do logowania i zapleczu prywatnym dodać sprawdzenie, czy jest ssl, i przekierowujący na ssl, po zalogowaniu, wyjazd na forum, bez ssl.
Nie jest to jakaś kosmiczna sprawa w samym php, niezależnie od tego, co jest wyrzeźbione w phpBB.
Kwestia doklejenia jednej funkcji w kilku skryptach.
Trochę po stolarsku, ale sam tak kiedyś dawno temu poprawiałem zjebanego OsCommerca, żeby nie wyskakiwał z ssl w /admin, nawet działało.
Tak na marginesie:
Ta Wielka Aktualizacja Forum ma już jakiś przybliżony termin, czy czekamy na stabilnego FluxBB-2.0, czy może na nowy procek 16x700Ghz - który Intel ma zrobić z grafenu zamiast krzemu, w ciągu najbliższych.....? :D
EDIT:
Można też SSL obrobić sensownie bez rzeźbienia w php, samym rewritem:
http://forum.dug.net.pl/login.php
http://forum.dug.net.pl/message_send.php
http://forum.dug.net.pl/profile.php
http://forum.dug.net.pl/message_list.php
Ewentualnie jeszcze:
http://forum.dug.net.pl/misc.php
http://forum.dug.net.pl/edit.php?id=248699
Może jeszcze ze trzy skrypty oprócz powyższych.
W sumie, jeśli będzie jakikolwiek cert, to dalej jest bułka z masłem, praktycznie bez zaglądania do kodu php.
Do reszty wystarczy szyfrować ciasteczka.
Ostatnio edytowany przez Jacekalex (2013-12-16 11:51:08)
Offline
No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?
Offline
Może ja się mylę ale jak wybierzesz protokół https to znaczy że jest szyfrowane. Jedynie co to port 443 nie znaczy że jest szyfrowane.
Ale zastanawia mnie co takiego jest tutaj pisane żeby trzeba było szyfrować połączenie? :) Czy po prostu zgodnie z ostatnim trendem szyfrujemy wszystko.
Offline
[quote=azhag]No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?[/quote]
Mylisz się.
Jak Rewrite wygoni zapytanie GET na port 443, a tam wisi ssl, to jeszcze przed wysłaniem GET jest negocjowane połączenie ssl, a samo zapytanie jest wysyłane po uzgodnieniu szyfrowania między przeglądarką a serwerem.
(między innymi dlatego nie można na Apachu w prosty sposób powiesić dwóch certów ssl na jednym IP i jednym porcie).
W ten sposób, jak jakiś skrypt przekierujesz na ssl, to on będzie leciał w szyfrowanym połączeniu niezależnie, czy tego chce, czy nie chce.
Na takiej samej zasadzie działa dodatek [url=https://addons.mozilla.org/pl/firefox/addon/force-tls/]Force-TLS[/url] do FF.
Z resztą małe demo:
openssl s_client -connect google.pl:443
i wpisz:
get {cośtam}
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2013-12-16 12:06:37)
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00107 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.16.137.229' WHERE u.id=1 |
0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.16.137.229', 1732709114) |
0.00058 | SELECT * FROM punbb_online WHERE logged<1732708814 |
0.00069 | SELECT topic_id FROM punbb_posts WHERE id=248678 |
0.00008 | SELECT id FROM punbb_posts WHERE topic_id=24834 ORDER BY posted |
0.00079 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24834 AND t.moved_to IS NULL |
0.00013 | SELECT search_for, replace_with FROM punbb_censoring |
0.00121 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24834 ORDER BY p.id LIMIT 0,25 |
0.00244 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24834 |
Total query time: 0.00788 s |