Forum Debian Users Gang

womperm · 2013-12-16 03:26:28

Cześć. Czy kiedyś nastanie taki dzień w którym wchodząc na forum, czy portal Debian Users Gang ujrzę magiczne https? Oczywiście, nie musi to być oficjalne wprowadzone, wystarczy że główne forum lub portal będzie dostępny przez SSL czy TLSa.Myślę że nie będzie problemu z wdrążeniem takiego rozwiązania, można wygenerować darmowy certyfikat który będzie akceptowany przez wszystkie przeglądarki, oprócz IE :) Polecam wypowiedzieć się w tym wątku i ruszyć w końcu tą administracje do roboty, która znając życie potrwa 5min. Z okazji zbliżających się świąt życzę administracji jak i całemu DUGowi wszystkiego najlepszego.

Jacekalex · 2013-12-16 03:36:24

Nieprędko chyba, już była o tym mowa na forum.

womperm · 2013-12-16 03:39:40

Config apache ich przerasta, czy nie mają czasu, nawet tych pięciu minut?
Jeżeli nie mają czasu to nie można kogoś poprosić? Np. Ciebie :)
Jak już mówiłem [u]nie musi[/u] to być wprowadzone oficjalnie.

Jacekalex · 2013-12-16 04:02:32

Biexi pisała o planowanym zakupie certyfikatu (o ile pamiętam), nikt nie chciał się odnieść do propozycji samodzielnie podpisanego certa.

Pozostaje też kwestia mocy obliczeniowej, jeśli np procek nie ma AES-NI czy czegoś podobnego, to szyfrowanie SSL oznacza spory narzut obliczeniowy.

womperm · 2013-12-16 04:07:40

Nie musi być, zakupiony certyfikat. Słyszałeś pewnie o StartSSL?
Procek u nich to jakiś Xeon więc musi mieć, aczkolwiek nikt tutaj nie narzuca AESa, może to być równie dobrze 3DES czy Camellia.

Jacekalex · 2013-12-16 04:33:22

Ja słyszałem, ale to nie ja tu decyduję.

Tu masz wspomniany wątek:
http://forum.dug.net.pl/viewtopic.php?pid=143007

I nie musisz się tak strasznie denerwować.

womperm · 2013-12-16 04:37:32

Nie, no co Ty :)
Wcale się nie denerwuje. Tylko wiesz (a na pewno wiesz) że przesyłanie danych/ich trzymanie w plain textie nie należy do dobrych rozwiązań.
Poważny portal jak DUG powinien do tego przyłożyć wagę, no ale jest jak widać...

Jacekalex · 2013-12-16 05:40:07

Szyfrować warto tylko hasła, i panel prywatny, tzn ustawienia i wysyłanie PW.
Reszta i tak jest indeksowana przez Google, i czy prześlesz w plain czy przez szyfrowanie kluczem np ECDHE-RSA-AES256-GCM-SHA384, to i tak docelowo ląduje w necie.

azhag · 2013-12-16 09:12:27

A czy przypadkiem samo forum nie powinno też obsługiwać SSL? Jeśli tak, to obawiam się, że nie przed Wielką Aktualizacją Forum™.

chmuri · 2013-12-16 09:48:57

@azhag i jeszcze powiedz że będziesz maczał palce w The Great Update Forum™ =]

Jacekalex · 2013-12-16 09:58:01

SSL tutaj też by się dało zrobić, po prostu w skryptach do logowania i zapleczu prywatnym dodać sprawdzenie, czy jest ssl, i przekierowujący na ssl, po zalogowaniu, wyjazd na forum, bez ssl.

Nie jest to jakaś kosmiczna sprawa w samym php, niezależnie od tego, co jest wyrzeźbione w phpBB.
Kwestia doklejenia jednej funkcji w kilku skryptach.

Trochę po stolarsku, ale sam tak kiedyś dawno temu poprawiałem zjebanego OsCommerca, żeby nie wyskakiwał z ssl w /admin, nawet działało.

Tak na marginesie:
Ta Wielka Aktualizacja Forum ma już jakiś przybliżony termin, czy czekamy na stabilnego FluxBB-2.0, czy może na nowy procek 16x700Ghz - który Intel ma zrobić z grafenu zamiast krzemu, w ciągu najbliższych.....? :D

EDIT:
Można też SSL obrobić sensownie bez rzeźbienia w php, samym rewritem:
http://forum.dug.net.pl/login.php
http://forum.dug.net.pl/message_send.php
http://forum.dug.net.pl/profile.php
http://forum.dug.net.pl/message_list.php

Ewentualnie jeszcze:
http://forum.dug.net.pl/misc.php
http://forum.dug.net.pl/edit.php?id=248699
Może jeszcze ze trzy skrypty oprócz powyższych.
W sumie, jeśli będzie jakikolwiek cert, to dalej jest bułka z masłem, praktycznie bez zaglądania do kodu php.

Do reszty wystarczy szyfrować ciasteczka.

Ostatnio edytowany przez Jacekalex (2013-12-16 11:51:08)

azhag · 2013-12-16 10:59:05

No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?

djjanek · 2013-12-16 11:26:29

Może ja się mylę ale jak wybierzesz protokół https to znaczy że jest szyfrowane. Jedynie co to port 443 nie znaczy że jest szyfrowane.

Ale zastanawia mnie co takiego jest tutaj pisane żeby trzeba było szyfrować połączenie? :) Czy po prostu zgodnie z ostatnim trendem szyfrujemy wszystko.

Jacekalex · 2013-12-16 11:49:49

[quote=azhag]No tak, ale to, że połączenie leci przez HTTPS nie znaczy jeszcze, że jest szyfrowane, prawda? Czy się mylę?[/quote]
Mylisz się.
Jak Rewrite wygoni zapytanie GET na port 443, a tam wisi ssl, to jeszcze przed wysłaniem GET jest negocjowane połączenie ssl, a samo zapytanie jest wysyłane po uzgodnieniu szyfrowania między przeglądarką a serwerem.
(między innymi dlatego nie można na Apachu w prosty sposób powiesić dwóch certów ssl na jednym IP i jednym porcie).

W ten sposób, jak jakiś skrypt przekierujesz na ssl, to on będzie leciał w szyfrowanym połączeniu niezależnie, czy tego chce, czy nie chce.

Na takiej samej zasadzie działa dodatek [url=https://addons.mozilla.org/pl/firefox/addon/force-tls/]Force-TLS[/url] do FF.

Z resztą małe demo:

Kod:

openssl s_client -connect google.pl:443

i wpisz:

Kod:

get {cośtam}

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-12-16 12:06:37)

Time (s)	Query
0.00013	SET CHARSET latin2
0.00006	SET NAMES latin2
0.00144	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.80.216' WHERE u.id=1
0.00120	UPDATE punbb_online SET logged=1716197214 WHERE ident='3.139.80.216'
0.00051	SELECT * FROM punbb_online WHERE logged<1716196914
0.00080	SELECT topic_id FROM punbb_posts WHERE id=248713
0.00150	SELECT id FROM punbb_posts WHERE topic_id=24834 ORDER BY posted
0.00071	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24834 AND t.moved_to IS NULL
0.00009	SELECT search_for, replace_with FROM punbb_censoring
0.00094	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24834 ORDER BY p.id LIMIT 0,25
0.00100	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24834
Total query time: 0.00838 s

Forum Debian Users Gang

Ogłoszenie

#1 2013-12-16 03:26:28

womperm - Członek DUG

Szyfrowany DUG po SSL

#2 2013-12-16 03:36:24

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

#3 2013-12-16 03:39:40

womperm - Członek DUG

Re: Szyfrowany DUG po SSL

#4 2013-12-16 04:02:32

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

#5 2013-12-16 04:07:40

womperm - Członek DUG

Re: Szyfrowany DUG po SSL

#6 2013-12-16 04:33:22

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

#7 2013-12-16 04:37:32

womperm - Członek DUG

Re: Szyfrowany DUG po SSL

#8 2013-12-16 05:40:07

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

#9 2013-12-16 09:12:27

azhag - Admin łajza

Re: Szyfrowany DUG po SSL

#10 2013-12-16 09:48:57

chmuri - [=Centos=]

Re: Szyfrowany DUG po SSL

#11 2013-12-16 09:58:01

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

#12 2013-12-16 10:59:05

azhag - Admin łajza

Re: Szyfrowany DUG po SSL

#13 2013-12-16 11:26:29

djjanek - Użytkownik

Re: Szyfrowany DUG po SSL

#14 2013-12-16 11:49:49

Jacekalex - Podobno człowiek...;)

Re: Szyfrowany DUG po SSL

Kod:

Kod:

Stopka forum

Informacje debugowania