Över hälften av världens populäraste webbplatser använder nu HTTPS

Permalänk
Melding Plague

Över hälften av världens populäraste webbplatser använder nu HTTPS

I Googles årliga transparensrapport står det klart att företagets vurmande för HTTPS på webben har fått önskad effekt. Över hälften av världens 100 populäraste hemsidor använder nu HTTPS.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Inaktiv

Om det som finns på sidan ej är knytet till någon person eller på något sätt hemligt så klarar man sig utan vidare hög kryptering av datatrafiken, jag tänker t.ex en receptsida där användare ej kan logga in utan enbart maila tips med nya rätter.

Det är vansinne att det har tagit så lång tid innan andra websidor på internet har börjat bry sig om säkerhet, att sedan implementera en lösning som är dålig är svårare. Men det är bara göra en analys med whireshark och går saker som lösenord läsa i klartext så bör man tänka om.

Okrypterade sidor utan SSL kommer nog alltid att finnas kvar på intranät, då SSL i sin tur kan skapa driftstrul. Och argumentet lyder, tar sig någon in i nätverket så är intranätet inte precis det som de är ute efter.
En liknelse många bilägare råkar ut för stölder, men att kosta på ett extra skydd som kan skapa driftstrul bara för att skydda så att ingen snor ens spolarväska ifall de har låst upp bilen känns fel.

*edit*
En tanke som jag har funderat länge på är lagkrav på säkerhet för sidor som tar emot personuppgifter. De flesta forum kommer då undan detta genom att de vare sig lagrar personnummer, kredikort eller liknande. Blir de hackade så drabbar det främst de själva, även om nu väldigt många användare är dumma och använder samma lösenord på flera ställen.
Sedan har många på flashback blivit lidande av hack, så visst det drabbar användarna. Men börjar man blanda in lagkrav, myndigheter som granskar så tar man död på mindre aktörer som vill skapa forum etc.

Permalänk
Medlem

Borde vara krav på HTTPS idag för all webbtrafik.

Visa signatur

r_wateralpha 0.3

Permalänk
Inaktiv
Skrivet av Datanisse:

Borde vara krav på HTTPS idag för all webbtrafik.

Det tycker jag inte, allt är inte så hemligt. Problemet är om en sida utger sig för att vara säker när den ej är det.
Att skapa en webbsida är dessutom något som går på någon sekund, sätt portforward på port 80 aktivera IIS i winodws och man har en egen webbsite.

Jag tror att grundläggande datasäkerhet ska ingå i grundskolan är bättre, typ alla i 9an ska kunna sätta upp en säker webbserver på sin dator med SSL certifikat är inte mycket begärt 2017. Det finns hur mycket annat som de kan dra in på.
*edit*
Vissa partier prata om programmera i årskurs 1, så i framtiden kanske detta kan vara ett krav i årkurs 6?

Permalänk
Medlem
Skrivet av anon159643:

Om det som finns på sidan ej är knytet till någon person eller på något sätt hemligt så klarar man sig utan vidare hög kryptering av datatrafiken, jag tänker t.ex en receptsida där användare ej kan logga in utan enbart maila tips med nya rätter.

Det är vansinne att det har tagit så lång tid innan andra websidor på internet har börjat bry sig om säkerhet, att sedan implementera en lösning som är dålig är svårare. Men det är bara göra en analys med whireshark och går saker som lösenord läsa i klartext så bör man tänka om.

Okrypterade sidor utan SSL kommer nog alltid att finnas kvar på intranät, då SSL i sin tur kan skapa driftstrul. Och argumentet lyder, tar sig någon in i nätverket så är intranätet inte precis det som de är ute efter.
En liknelse många bilägare råkar ut för stölder, men att kosta på ett extra skydd som kan skapa driftstrul bara för att skydda så att ingen snor ens spolarväska ifall de har låst upp bilen känns fel.

*edit*
En tanke som jag har funderat länge på är lagkrav på säkerhet för sidor som tar emot personuppgifter. De flesta forum kommer då undan detta genom att de vare sig lagrar personnummer, kredikort eller liknande. Blir de hackade så drabbar det främst de själva, även om nu väldigt många användare är dumma och använder samma lösenord på flera ställen.
Sedan har många på flashback blivit lidande av hack, så visst det drabbar användarna. Men börjar man blanda in lagkrav, myndigheter som granskar så tar man död på mindre aktörer som vill skapa forum etc.

Enda strul jag minns var var tredje år när certifikatet gick ut, krånglade varje gång. Men bara vart 3e år (eller var det varje)är väl både helt gratis och relativt enkelt att fixa https

Skickades från m.sweclockers.com

Permalänk
Inaktiv
Skrivet av aholman:

Enda strul jag minns var var tredje år när certifikatet gick ut, krånglade varje gång. Men bara vart 3e år (eller var det varje)är väl både helt gratis och relativt enkelt att fixa https

Skickades från m.sweclockers.com

Ja det behöver ej vara strul med certifikat och allt eftersom fler använder det så blir det bättre testat.
Men intranät som jag nämnde har ofta redan hög säkerhet och beroende på webbsida där så kan man skipa certifikat, det får dessutom vara egen signerade då intranätet inte på något sätt har knytning till internet.
*edit*
Det jag brukar bråka med cerifikat är gateways (t.ex rdp gateway) och dylikt som använder denna. Utan SSL certifikat blir det så mycket enklare.

Permalänk
Avstängd

Let’s Encrypt is a free, automated, and open Certificate Authority.
https://letsencrypt.org/

Permalänk
Medlem

Bättre sent än aldrig. Bra att swec nu kör https .

Permalänk
Medlem

tyvärr har jag haft enorma problem att ladda swec sedan ni gick över till HTTPS, får ERR_CONNECTION_TIMED_OUT frekvent, blir nästan omöjligt att surfa ordentligt på sidan.

hoppas jag hittar en lösning på det snart ^^

Visa signatur

3900x | 2080 | 4x8 3600 | Strix X570-F

Permalänk
Medlem
Skrivet av anon159643:

Det tycker jag inte, allt är inte så hemligt.

Är det du som bestämmer vad som är hemligt? Spelar ingen roll vad jag tittar på, om jag så söker efter ett nytt kakrecept ska ingen förutom de jag själv berättar detta för få veta om det.

Visa signatur

Philips 34M2C8600 | RTX 3090 | AMD R7 5800X3D | 32GB 3600MHz DDR4 | Gigabyte X570 Aorus Master | Seagate Firecuda 530 4TB & Kingston A2000 1TB | 27TB HDD | Seasonic Focus GX 850 | Hifiman Sundara | Phanteks P500A | LG CX55 | Yamaha HS7 | Nvidia Shield TV Pro (2019)

Citera för svar!

Permalänk
Rekordmedlem
Skrivet av Laggzor:

tyvärr har jag haft enorma problem att ladda swec sedan ni gick över till HTTPS, får ERR_CONNECTION_TIMED_OUT frekvent, blir nästan omöjligt att surfa ordentligt på sidan.

hoppas jag hittar en lösning på det snart ^^

Men det beror nog på nått i din ände och inte sidan i sig för om det vore ett generellt problem med sidan så borde många uppleva problem.
När rensade du senast ut allt gammalt ur din webbläsare ? Även om man uppdaterar sin webbläsare så kan en del gamla inställningar/profiler/tillägg hänga med och ställa till det så även webbläsarna kan behöva en ny installation eller åtminstone att man skapar en ny profil för att rensa ut gammalt skrot som följt med i 10 år och som kanske inte funkar bra för att man tex bytt från 32 till 64 bitversion eller som nu när FF håller på att helt byta system för tillägg.
Synkning och backuper är bra i många lägen men man bör tänka på att de ibland även kan ställa till problem genom att släpa med sig gammalt bös som man egentligen borde rensa ut men där man varit för lat och skitit i det.

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Permalänk
Inaktiv
Skrivet av Wizbro:

Är det du som bestämmer vad som är hemligt? Spelar ingen roll vad jag tittar på, om jag så söker efter ett nytt kakrecept ska ingen förutom de jag själv berättar detta för få veta om det.

Den åsikten kan man ha. Men om man vill införa lagkrav på att folk ska skydda all sin trafik så är det rättsväsendet som bestämmer vad som är hemligt så att det måste och det finns krypteringen. Många andra protokoll som suger lika hårt är vanlig ftp.

För säkerhetsmedvetna så kanske det räcker att endast öppna port 443 emot internet? Kanske att internetleverantörer som default bara kunde ha denna port öppen, vill man ha mer öppna så kan man få det emot en liten betalning. Frågan är hur många portar som en hemanvändare egentligen behöver? Port 1723 för vpn är inte fel så att de kan komma åt jobbet.

*edit*
Detta med att IPS spärrar en massa portar tror jag drastisk skulle kunna höja säkerheten, där folk själva såklart kan be ISP att öppna portar och detta kunde skötas automatisk utan mänsklig inblandning. (för att göra det billigare) Tack vare Websocket så behöver så kan man t.ex. köra rdp genom den ordinarie 443 porten.

*edit2*
Problemet med att lagtvinga SSL certifikat är att det tar inte många sekunder att slänga upp en webbserver utan att behöva installera ett enda program (använda inbyggda IIS), folk kan slänga upp Websidor för allt möjligt för temporära saker. Det blir då väldigt konstigt med att göra det olagligt.

Permalänk
Legendarisk
Skrivet av Laggzor:

tyvärr har jag haft enorma problem att ladda swec sedan ni gick över till HTTPS, får ERR_CONNECTION_TIMED_OUT frekvent, blir nästan omöjligt att surfa ordentligt på sidan.

hoppas jag hittar en lösning på det snart ^^

Det ser ut som om det här kan gälla även för dig:
#17073167

Visa signatur

Abstractions all the way down.

Permalänk
Medlem
Skrivet av anon159643:

Ja det behöver ej vara strul med certifikat och allt eftersom fler använder det så blir det bättre testat.
Men intranät som jag nämnde har ofta redan hög säkerhet och beroende på webbsida där så kan man skipa certifikat, det får dessutom vara egen signerade då intranätet inte på något sätt har knytning till internet.
*edit*
Det jag brukar bråka med cerifikat är gateways (t.ex rdp gateway) och dylikt som använder denna. Utan SSL certifikat blir det så mycket enklare.

MITM?
Det är nog dags att börja tänka säkert internt också.
Annars kanske man missar bollen och börja läcka interna saker, but hey du och ditt företag kanske vill ha eran kunddata ute?

Visa signatur

Battlestation: 12700k - RTX3090 - 32gb ram - 1tb M2 990 PRO - 2TB M2 crucial
Server: 2x Xeon E5-2670 - 64GB Ecc ram

Permalänk
Medlem
Skrivet av Biberu:

Det ser ut som om det här kan gälla även för dig:
#17073167

har inget annat när att testa med tyvärr, använder redan googles dns och sitter på bahnhof

Visa signatur

3900x | 2080 | 4x8 3600 | Strix X570-F

Permalänk
Inaktiv
Skrivet av basn:

MITM?
Det är nog dags att börja tänka säkert internt också.
Annars kanske man missar bollen och börja läcka interna saker, but hey du och ditt företag kanske vill ha eran kunddata ute?

MITM är helt relevant, samtidigt är driftsäkerhet detsamma. Webbsidor används för precis altting då det går så snabbt att slänga upp. Och det handlar om vad det är för data man skyddar jämtemot hur stort intrång personen redan har gjort.

Bilexemplet jag nämnde ovanför, har något låst upp hela ens bil, de kan öppna alla dörrar, starta bilen och bara köra iväg, så visst finns det då ett risk att den tömmer bilen på spolarväska, men det är inget som fokus lägger på om det kan innebära driftproblem som att spelen bara stannar på en viktig resa.
På vissa ställen är det fler apparater som hostar webbsidor än vad vissa samhällen har invånare i landet, det går då inte hålla på med några certifikat till precis de alla. Ofta är inte trafiken däremellan hemlig, då det finns betydligt enklare angrepsvägar om man har tagit sig så långt in i det tekniska nätverket.

Permalänk
Medlem
Skrivet av anon159643:

Det är vansinne att det har tagit så lång tid innan andra websidor på internet har börjat bry sig om säkerhet, att sedan implementera en lösning som är dålig är svårare. Men det är bara göra en analys med whireshark och går saker som lösenord läsa i klartext så bör man tänka om.

Att konvertera en större kommersiell webbplats till https är inget man gör i en handvändning. Vi gjorde det på jobbet och det tog lååång tid att få till allt. Utöver våra egna services, lägg till alla annonsörer, och andra tredjepartsgrejer som trackingscript etc. Dessutom ville CDN ha mer betalt för trafiken, som de tillochmed var oroliga för att de skulle kunna hantera. Detta eftersom servrarna behöver spendera CPU-tid på att kryptera allting också. Minsta lilla grej som man råkar serva över http så är det mixed content och goodbye, så verkligen allt måste lira.

Visa signatur

Core i7 7700K | Titan X (Pascal) | MSI 270I Gaming Pro Carbon | 32 GiB Corsair Vengeance LPX @3000MHz | Samsung 960 EVO 1TB

Permalänk
Inaktiv
Skrivet av Nioreh83:

Att konvertera en större kommersiell webbplats till https är inget man gör i en handvändning. Vi gjorde det på jobbet och det tog lååång tid att få till allt. Utöver våra egna services, lägg till alla annonsörer, och andra tredjepartsgrejer som trackingscript etc. Dessutom ville CDN ha mer betalt för trafiken, som de tillochmed var oroliga för att de skulle kunna hantera. Detta eftersom servrarna behöver spendera CPU-tid på att kryptera allting också. Minsta lilla grej som man råkar serva över http så är det mixed content och goodbye, så verkligen allt måste lira.

Ja det är som vanligt att det som är enkelt i liten skala blir genast helt annorlunda i stor skara, jag själv har alls ej jobbat med större webbsidor . Men det jag tror är att man kan göra olika saker säkra. Min åsikt det är inte hela världen om någon ser vilka artiklar man löser, men när användaren loggar in för att kommentera så blir kraven högre.
Men ska man bedriva en seriös webbsida så bör självklart allt vara skyddat och det tror jag webbläsaretillverkarna kan få folk att tänka till, typ visa samma varning som man får när man besöker en sida med egen certifierat SSL när man besöker en http sida, de som ej körde https skulle få en kraftig minskning av besökare.

Permalänk
Legendarisk
Skrivet av Laggzor:

har inget annat när att testa med tyvärr, använder redan googles dns och sitter på bahnhof

Det är den enda gemensamma nämnaren vi har just nu. Prova att kontakta deras support, om de hör att det strular så kanske det finns något de kan göra för att felsöka i sin ände.

Visa signatur

Abstractions all the way down.

Permalänk
Medlem
Skrivet av Biberu:

Det är den enda gemensamma nämnaren vi har just nu. Prova att kontakta deras support, om de hör att det strular så kanske det finns något de kan göra för att felsöka i sin ände.

kanske deras Carrier Grade Nat? själv har jag inga problem med Bahnhof.

Visa signatur

Battlestation: 12700k - RTX3090 - 32gb ram - 1tb M2 990 PRO - 2TB M2 crucial
Server: 2x Xeon E5-2670 - 64GB Ecc ram

Permalänk
Medlem
Skrivet av Biberu:

Det är den enda gemensamma nämnaren vi har just nu. Prova att kontakta deras support, om de hör att det strular så kanske det finns något de kan göra för att felsöka i sin ände.

Skrivet av basn:

kanske deras Carrier Grade Nat? själv har jag inga problem med Bahnhof.

Inga problem heller här med Bahnhof..
Däremot haft mycket packet loss på senaste tiden. Ej bakom CGN dock.

Visa signatur

PSU: Seasonic FOCUS Plus 750W Gold | MOBO: ASUS ROG STRIX X570-E | CPU: AMD Ryzen 9 5900X w/ NZXT Kraken x72 | GPU: EVGA GeForce GTX 1070 Ti FTW ULTRA SILENT GAMING | RAM:Corsair Vengeance DDR4 3200MHz CL16 (2X32GB) | SSD(s): 2X NVMe M.2 Samsung 970 EVO PLUS 1TB
AKA:FakeNinja

Permalänk
Medlem

Får också ofta det felmeddelandet när jag surfar på sweclockers och sitter också på bahnhof. Får testa att köra mobilnätverket ett tag och se om problemet kvarstår.

Visa signatur

Processor: R5 2600 Moderkort: X470-F Gaming Grafikkort: Nvidia 3080 FE Ram: Trident Z Neo 16gb Nätaggregat: CM 850V Chassi: FD Meshify C Lagring: Corsair MP510 1TB, Crucial MX300 750gb

Permalänk
Inaktiv
Skrivet av anon159643:

Det tycker jag inte, allt är inte så hemligt. Problemet är om en sida utger sig för att vara säker när den ej är det.
Att skapa en webbsida är dessutom något som går på någon sekund, sätt portforward på port 80 aktivera IIS i winodws och man har en egen webbsite.

Jag tror att grundläggande datasäkerhet ska ingå i grundskolan är bättre, typ alla i 9an ska kunna sätta upp en säker webbserver på sin dator med SSL certifikat är inte mycket begärt 2017. Det finns hur mycket annat som de kan dra in på.
*edit*
Vissa partier prata om programmera i årskurs 1, så i framtiden kanske detta kan vara ett krav i årkurs 6?

Tänk också på att HTTPS baserar sig på att man lita på CAs. Eftersom det är ytterst klart att de inte går att lita på är det hela lite av ett skämt. Visst det skyddar att någon annan lyssnar av din trafik på oskyddad wifi men de riktiga fiender (staten) kommer enkelt åt CA och därmed all din trafik.

Bättre än ingen kryptering men långt ifrån säkert. Den dagen browsers börjar tillåta att man låser certifikat för specifika sidor och att man enkelt kan jämföra de så kan man möjligen börja prata om säkerhet. Crowd sourced trust baserade certifikat skulle göra det betydligt säkrare, speciellt mot DNS kapning och attacker mot CAs.

Permalänk
Medlem

Hrm. I min mening så kommer utbredt bruk av krypterte forbindelser over nettverksprotokoll kommer 20 år for sent. Ikke noe jeg vil rope hurra for. Og i bakgrunnen lusker politistaten og en kan lure på om alle nettbrukerne er mer som føydale undersåttere, når sikkerhet er noe som blir noe mystisk og ukjent, antagelig styrt av nettleser, internettlevernadør, eller nasjonal politikk.

Jeg hadde håpet at internett kunne være en global ting som man kunne stole på, men så virker det for meg å være bare tull når mangel på sikkerhet og privatliv er så utbredt som det er på internett.

Jeg håper noen kan lage en artikkel og forklare hvordan en 'privat' krypteringsnøkkel på avveie for et digitalt sertifikat, kan tillate overvåkning/angrep, og om det er noe med systemet med digitale sertifikat som man kan stole på fungerer som det skal.

Permalänk
Medlem
Skrivet av anon159643:

Om det som finns på sidan ej är knytet till någon person eller på något sätt hemligt så klarar man sig utan vidare hög kryptering av datatrafiken, jag tänker t.ex en receptsida där användare ej kan logga in utan enbart maila tips med nya rätter.

Du glömmer att TLS också skyddar mot MiM-attacker. En till synes harmlös sida kan dölja vad som helst.

Permalänk
Avstängd

Kolla styrkan på implementionen av sajter som använder HTTPS på SSL Labs sida.

https://www.ssllabs.com/ssltest/analyze.html?d=sweclockers.co...
Sweclockers får en score på A vilket är bra. Inte så bra om din bank får F i score.

Permalänk
Inaktiv
Skrivet av dlq84:

Du glömmer att TLS också skyddar mot MiM-attacker. En till synes harmlös sida kan dölja vad som helst.

Nja. Om du har certificate pegging på just detta certifikat så hjälper det, annars går det komma runt relativt enkelt. Det är därför saker som DNS hijacking är så farliga för att även om du knappar in rätt adress skickas du till en "ond" server och det är trivialt för de att sitta mellan dig och riktiga sidan och sniffa allt de känner för. Att få CAs att utfärda skumma certifikat är i princip trivialt för stater och bara en smula svårare för kriminella då det har visat sig att många inte bryr sig minsta lilla om säkerhet och våra datorer litar på hundratals av dem.

Permalänk
Medlem
Skrivet av anon159643:

Det tycker jag inte, allt är inte så hemligt. Problemet är om en sida utger sig för att vara säker när den ej är det.
Att skapa en webbsida är dessutom något som går på någon sekund, sätt portforward på port 80 aktivera IIS i winodws och man har en egen webbsite.

Jag tror att grundläggande datasäkerhet ska ingå i grundskolan är bättre, typ alla i 9an ska kunna sätta upp en säker webbserver på sin dator med SSL certifikat är inte mycket begärt 2017. Det finns hur mycket annat som de kan dra in på.
*edit*
Vissa partier prata om programmera i årskurs 1, så i framtiden kanske detta kan vara ett krav i årkurs 6?

Kommer bli lite kul o sen paniken när quantum datorerna blir (eller om de redan är) kraftiga nog att kunna knäcka all from av kryptering och lösenord. Vi kommer alla veta vilka kakrecept @Wizbro använder tex

Enda jag säger till detta är... vad fan spelar HTTPS för roll om era Windows och Andoid OS ändå spionerar och vet allt om er? Så ni känner er säkra på nätet... kanon. Men tills den dagen jag kan säkra anslutningen mellan mig och mina program, utan att få snokande OS eller annat skit, är det totalt meningslöst att ha HTTPS utom för uppenbara saker som bank, kreditkort mm.

Mso @Wizbro MS vet redan alla dina recept... du har ffs en keylogger i Win 10, inbyggd som standard, som vi inte ens kan bekräfta går att stänga av.

Håller med dig dock @anon159643 grundläggande säkerhet ska gärna ingå i skolan, men snälla, kan vi då se den ur mer än bara en krypterad tunnels synpunkt? Kanske gratis är == farligt

Permalänk
Medlem
Skrivet av Paddanx:

Kommer bli lite kul o sen paniken när quantum datorerna blir (eller om de redan är) kraftiga nog att kunna knäcka all from av kryptering och lösenord. Vi kommer alla veta vilka kakrecept @Wizbro använder tex

Enda jag säger till detta är... vad fan spelar HTTPS för roll om era Windows och Andoid OS ändå spionerar och vet allt om er? Så ni känner er säkra på nätet... kanon. Men tills den dagen jag kan säkra anslutningen mellan mig och mina program, utan att få snokande OS eller annat skit, är det totalt meningslöst att ha HTTPS utom för uppenbara saker som bank, kreditkort mm.

Mso @Wizbro MS vet redan alla dina recept... du har ffs en keylogger i Win 10, inbyggd som standard, som vi inte ens kan bekräfta går att stänga av.

Håller med dig dock @Johan86c grundläggande säkerhet ska gärna ingå i skolan, men snälla, kan vi då se den ur mer än bara en krypterad tunnels synpunkt? Kanske gratis är == farligt

Tack och lov använder jag inte skräpet som kallas Windows 10

Visa signatur

Philips 34M2C8600 | RTX 3090 | AMD R7 5800X3D | 32GB 3600MHz DDR4 | Gigabyte X570 Aorus Master | Seagate Firecuda 530 4TB & Kingston A2000 1TB | 27TB HDD | Seasonic Focus GX 850 | Hifiman Sundara | Phanteks P500A | LG CX55 | Yamaha HS7 | Nvidia Shield TV Pro (2019)

Citera för svar!

Permalänk
Medlem
Skrivet av Wizbro:

Tack och lov använder jag inte skräpet som kallas Windows 10

Aaah.. recepten säkra tills du byter dator eller datorerna kan knäcka din kod då

Du förstår min poäng hoppas jag dock? Att folk är så panikoroliga att säkra allt och alla saker, men litar blint och acceptera Windows precis som den är, för den är ju gratis och "MS/Google vill oss inget illa".

Därför anser jag HTTPS är något som kan ligga på sparlåga till Google själva sluta spåra allt och alla.