Varför är webbsidan svensktmjforum.se inte säker längre att surfa på?

[Dani]

Hej ,

Idag fick jag en varning när jag öppnade svensktmjforum.se.
Sökte upp lite information och fick fram följade:

Efter den senaste uppdatering kommer Google Chrome fr.o.m. nu att visa en varning på alla webbsidor som hanterar lösenord eller kreditkortsuppgifter och som inte använder SSL.

SSL är en teknik som man använder för att kryptera trafik på webben, mellan webbserver och webbläsare. Lite mer konkret så innebär detta att om du t.ex. loggar in med användarnamn och lösenord på en sida som inte använder SSL så kan den som har möjlighet att följa trafiken på ditt nätverk lätt se dina användaruppgifter.
Med SSL är detta krypterat och därför oanvändbart (givetvis förutsatt att krypteringen inte knäcks).
Sidor med inloggning där det nu står ”inte säker” är alltså inte på något sätt mindre säkra än de var förut, det är ”bara” det att Google Chrome har börjat med denna varning. Du behöver alltså inte vara orolig att din egen hemsida plötsligt blivit mindre säker, men det kanske är en väckarklocka om du driver en hemsida som borde vara säkrare. Har du någon typ av tjänst där användare kan registrera sig och bör kunna känna sig trygga att deras användaruppgifter är säkra, så kan det vara en god idé. Visar du bara information om dig själv/ditt företag, så är det ingen panik just nu, men det kan ändå vara bra att veta varför det ser ut som det gör.

[cgn1954]

Forumet använder okrypterad trafik dvs. http-trafik. Firefox och Chrome och några andra varnar numera för alla hemsidor som inte använder krypterad trafik med https/SSL. För detta krävs att forumet skaffar ett säkerhetscertifikat (kostar ofta pengar), installerar det på webb-servern och går/styr över till https/SSL.

På forum av denna typ är det vanligt att man inte investerar i och fixar detta (ingen annan känslig info än e-post och lösenord), användaren får själv ta hand om varningen och trycka på några knappar och göra sidan till en s.k. betrodd hemsida. Då slipper man varningen framöver.

[PerH]

ingen annan känslig info än e-post och lösenord

Vågar du gissa hur många här som har samma lösenord och e-post här som på många andra ställen?

[Spirit]

ingen annan känslig info än e-post och lösenord

Vågar du gissa hur många här som har samma lösenord och e-post här som på många andra ställen?

Såsom just nu arbetande med säkerhet, så har jag en ganska bra aning.

SSL höjer säkerheten, men det är ändå alltid användarnas ansvar hur man väljer att hantera sina lösenord. Även säkra sidor kan hackas, man bör helt enkelt inte använda samma lösenord på flera ställen. Gör man det, så är man uppenbarligen villig att ta risken att råka illa ut.

[paj2]

Jag håller med dig och är fullständigt medveten om risken.


Har du något bra tips på hur man då enkelt håller reda på sina lösen ord i alla situationer som då kan komma upp i  30 - 40 st?
Såg någon gång en typ av "räknesnurra" för detta. kanske en app i mobilen... säker?

[Boris]

Jag håller med dig och är fullständigt medveten om risken.


Har du något bra tips på hur man då enkelt håller reda på sina lösen ord i alla situationer som då kan komma upp i  30 - 40 st?
Såg någon gång en typ av "räknesnurra" för detta. kanske en app i mobilen... säker?

1Password, keypass eller andra. Jag använder 1Password, finns för både Mac, Windows, iOS, Android och har du ett abbonnemang synkar den mellan dina enheter.

[cgn1954]

För det första: Följ rådet, ha inte samma lösen "överallt".

Tips (om du inte vill använda en app enligt ovan eller Webbläsare som har ETT lösenord men kan de andra inloggningarna eller typ Norton Security som har ett "Valv"): Tja, en variant är väl att använda samma lösenord (5-8 tecken med stora/små och siffror och tecken) och plussa på varierade 3-4 sista tecknen på nåt "smart" sätt utifrån hemsidans namn kanske eller nåt annat enkelt som identifierar sidan. Färgen eller typen (ban för bank, eller vända på den till nab) eller så. Ju mer fantasi ju bättre.

(1) Buzter12#nab
(2) Buzter12#aci

typ . . . och hemlig princip förstås. 

[Spirit]

Jag håller med dig och är fullständigt medveten om risken.


Har du något bra tips på hur man då enkelt håller reda på sina lösen ord i alla situationer som då kan komma upp i  30 - 40 st?
Såg någon gång en typ av "räknesnurra" för detta. kanske en app i mobilen... säker?

Ja, det är ju ett helsike med alla lösenord...

Det finns webappar som t.ex. LastPass som jag testat lite utöver vad som nämnts ovan. Men jag använder numera ett system (som jag inte tänker avslöja) där jag kör en kombo av siffror och halvt påhittade ord med bäring på siffran och på websidan. Chrome sparar ju också det mesta, så jag kommer alltså ihåg det mesta jag behöver.

Men som sista utväg så har jag en applikation som heter KeePass, där har jag lösenordsdatabasen ligger på en krypterad USB-sticka. Jag försöker se till att hålla den uppdaterad.

[Bullfrogg]

Ni pratar om att spara lösenord och sådant i någon form på nätet för att alltid ha det tillgängligt förmodar jag? Om man är konspiratoriskt lagd så är ju sanningen att all elektronisk lagring kan bli hackad! Själv så skriver jag upp alla användarnamn och lösenord i en liten anteckningsbok som förvaras i larmat utrymme (dvs. mitt hem).  Problemet är ju om man törs ta den med sig när man skall ut och resa?

Peter L.

[BenWah46]

Törs du lämna den hemma då? Tänk om nån gör en snabbräd?

[lgrfbs]

Är det någon som kan åtgärda detta?
Det är ju inget värt att ha https om den inte är validerad.

[N_Rallaren]

Exakt vad är det som "någon" ska åtgärda? Forumet använder den certifikatslösning som tilhandahålls av webhotellet. Skicka PM till admin om du är sugen på att hjälpa till och har den kompetens som krävs.
Vänliga hälsningar,
Jonas

[lgrfbs]

Då är det forumets admin som ska prata med webbhotellet för det saknas information om vem som äger sidan (Raden som börjar med Owner:) och certifikatet sak vara verifierat av betrodd tredjepart för hänglåset ska visas i webbläsaren.
Tyvärr har jag inte den kunskapen och i detta fallet rättigheterna att lösa detta problem.

[N_Rallaren]

Då är det forumets admin som ska prata med webbhotellet för det saknas information om vem som äger sidan (Raden som börjar med Owner:) och certifikatet sak vara verifierat av betrodd tredjepart för hänglåset ska visas i webbläsaren.
Tyvärr har jag inte den kunskapen och i detta fallet rättigheterna att lösa detta problem.

Cerifikatet är utgivet av tredjeparten Let's Encrypt, som i sin tur används av webhotellet för att säkerställa att forumet är vad det utger sig för att vara och krypterar merparten av innehållet. Att köpa ett eget certifikat är en tämligen dyr historia för en gratistjänst.

Att inte hänglåset alltid syns beror på att många inlägg innehåller bildfiler (t ex den som du själv laddat upp i denna tråd) som länkas med http. Tyvärr fungerar inte forumets "bildproxy" som automatiskt konverterar http till https adresser för bilder (vilket det ironiskt nog gör på det "testforum" som jag satt upp på en helt annat webhotell).

Återigen, om du är sugen på att bidra är du varmt välkommen att hjälpa till. Om inte, tror jag ändå du kan känna dig rimligt trygg på tillfället. Som nämns tidigare i tråden är ett bra tips att inte använda samma lösenord för flera olika inloggningar. Själv använder jag tjänsten LastPass för att hålla ordning på mina egna lösenord. Rekommenderas!

[lgrfbs]

Då tar jag dit råd och håller mun nästa gång jag ser ett fel eftersom jag inte har tid att hjälpa till.
Beklagar att jag tipsade om att vi har ett problem med certifikatet.

[N_Rallaren]

Då tar jag dit råd och håller mun nästa gång jag ser ett fel eftersom jag inte har tid att hjälpa till.
Beklagar att jag tipsade om att vi har ett problem med certifikatet.

Du ska självklart påtala problem. I det här fallet förstår jag emellertid inte vilket reellt problem du försöker påtala och därmed inte vad vi kan göra för att rätta till det. Forumet använder ett giltigt certifikat från en betrodd utgivare. Förutom ett mindre problem som vi är medvetna om avseende bilder, är sidan lika säker som de flesta hemsidor.

[hakang]

En okunnig fråga, VAD är det som sidan ska vara säker för/mot? Dvs vad finns det för risker med att INTE ha sidan säker?

[BenWah46]

En okunnig fråga, VAD är det som sidan ska vara säker för/mot? Dvs vad finns det för risker med att INTE ha sidan säker?

Avvlyssning av den offentliga forumdiskussionen förstås!

[hakang]

En okunnig fråga, VAD är det som sidan ska vara säker för/mot? Dvs vad finns det för risker med att INTE ha sidan säker?

Avvlyssning av den offentliga forumdiskussionen förstås!

Jaha, ja det vore ju fullständigt fasansfullt om det hände. 

[Administratör]

Bra fråga. En krypterad websida säkerställer att sidan är vad den utger sig för att vara (dvs ingen annan sida bör kunna utge sig för att vara SvMJforum) och skyddar samtidigt trafik till och från sidan (så att ingen tredje part kan komma åt trafiken mellan forumets server och användarens webläsare).

Grunden för krypteringen är ett så kallat certifikat som utges av en betrodd tredje part. Sedan något år kräver samtliga webbläsare att sidor ska vara krypterade för att anses säkra och blockerar i värsta fall trafiken till sidor som inte är krypterade.

Hotbilden mot forumet är naturligtvis inte lika allvarlig som mot sidor som innehåller stora mängder känslig information, men den finns där.

Skulle forumet bli hackad är risken stor att vi förlorar data. Varje dygn avvisas massor av försök från robotar att gissa användarnamn och lösenord (det är därför vi har valt att blockera inloggningen en stund om du anger fel lösenord för många gånger). Det är också en bra anledning för alla användare att välja "starka" lösenord.

Skyddsvärd persondata som hanteras är främst e-postadresser, användarnamn och lösenord. Kryptering försvårar för en illasinnad tredje part att läsa och förvanska trafik till och från forumet (inklusive användarnamn och lösenord som annars skickas i klartext). Det minskar risken för hackning och underlättar användning genom att webläsare inte varnar för eller blockerar innehåll. Vi försöker också hålla forumprogramvaran uppdaterad för att täppa till potentiella säkerhetshål.

Hoppas detta rätar ut några frågetecken. Vi är inte experter på datasäkerhet så välkomna att förtydliga, komplettera eller korrigera om något av detta är oklart. Vi har emellertid gjort en hel del bakom kulisserna det senaste året för att stärka säkerheten och vår förhoppning är att det ska kännas tryggt att använda forumet.

[N_Rallaren]

En okunnig fråga, VAD är det som sidan ska vara säker för/mot? Dvs vad finns det för risker med att INTE ha sidan säker?

Avvlyssning av den offentliga forumdiskussionen förstås!

Jaha, ja det vore ju fullständigt fasansfullt om det hände. 

Kanske i så fall värre att inte fullt så offentliga par av användarnamn och lösenord skickas i klartext på okrypterade sidor  .

[PerH]

En krypterad websida säkerställer inget om att den är den sida den utger sig för att vara, kryptering är protokollet httpS vilket gör att trafiken är krypterad mellan webserver och webbrowser och därmed är mycket svår att avlyssna.
Ett certifikat säkerställer dock att websidan är den som den utger sig för att vara. De flesta webbrowsers varnar (flera till och med vägrar besöka) en websida som är krypterad utan ett matchande certifikat.

Det finns tre olika certifikat:
Domäncertifikat som säkerställer att själva adressen man skriver är rätt, dock styrker den inget om VEM som äger sidan.
Organisationcertifikat (OV) lägger utöver ovan till en kontroll att det är korrekt ägare bakom sidan, sköts oftast automatiskt genom att ett mail skickas till hostmaster@aktuelldomän eller admin@sammadomän.
ExtendedValue-Cert säkerställer att det är ett korrekt företag, krävs att man har internationellt organisationsnummer (DUNS) och kontroll görs både på företagsrepresentater (att man har juridisk rätt att beställa cert) och företagsadress (att företaget är skrivet på en viss adress enligt PRV/Skatteverket). Dessa cert tar ofta 1-2 veckor att få. Dessa cert syns genom att företagsnamnet syns i grön text vid hänglåset i datorer.

Självklart är dessa olika former av säkerhet och varje site har sitt behov av säkerhet, för SvMJForum räcker absolut ett domäncertifikat.

Sen finns det olika utgivare av cert, alla med olika trovärdighet, exvis har Engelska tidningen Guardian högre trovärdighet än exvis Mirror. Samma med utgivare och tyvärr tillhör LetsEncrypt som våra cert är utgivna av de mindre trovärdiga, främst för att dom är gratis och inte ens erbjuder OV eller EV cert. För SvMJForum räcker denna trovärdighet anser jag. LGRFBS anser att vi behöver ett OV cert, vilket inte behöver ironiseras. Det handlar om en kostnad om 30 USD per år (https://cheapsslsecurity.com/comodo/instantssl.html)

Det är dock inte alla webhotell som erbjuder andra cert än domäncertifikat, oftast pga okunnighet och sidor med högre krav oftast ha egen server (vps eller dedikerad)

Hoppas jag härmed redde ut de olika tankarna om cert?

[PerH]

En okunnig fråga, VAD är det som sidan ska vara säker för/mot? Dvs vad finns det för risker med att INTE ha sidan säker?

Avvlyssning av den offentliga forumdiskussionen förstås!

Jaha, ja det vore ju fullständigt fasansfullt om det hände. 

Kanske i så fall värre att inte fullt så offentliga par av användarnamn och lösenord skickas i klartext på okrypterade sidor  .

Absolut viktigast är att lösenorden inte är sparade i klartext i databasen utan hashade.

[cgn1954]

Har bara läst denna tråd lite snabbt men sannolikt är det ett certifikat (ett elektroniskt "bevis") på att forumet är den det säger som löpt ut och inte förnyats i tid. Det är en ganska enkel procedur att förnya certifikatet och göra det betrott som det heter, ansvaret har forumägaren.

Sen: Detta certifikat skyddar "bara" mot avlyssning av trafik (https, ditt "samtal" med forumet) som då blir krypterad. Risken (som är låg) är att nån snubbe (i regel en snubbe) sitter mitt i smeten (Internet) och lyssnar på trafiken, ingen större risk alltså (med miljarders miljarder byte/tecken överförda i sekunden och inte överallt samtidigt heller). Risken utgår från om det finns antingen pengar (stora) eller information av värde på servern (i detta fall i molntjänsten) så att RIKTADE intressen finns eller skapas mot just detta Svenskt MJ-forum. Nja - gör det det?

Den andra risken har inget med certifikat att göra - risken är som nämns en annan och utgår från hacking (eller kracking), dvs. att man skadar server, etc. genom att bryta eller "hacka" sig in. Syftena är desamma, pengar eller information. I detta forums fall skulle man alltså vara ute efter information (antar jag - eller har man mycket pengar oxå?). Men det åligger forumägaren att skaffa de skydd som nämns, t ex av en krypterad databas, säker programkod, säker inloggning, osv. Kan man inte som forumägare detta själv får man låta "någon" göra det, t ex webbhotellet. Så fråga dem gärna hur de gör.

PS Jag föreslår helt enkelt att den som använder detta forum för att lagra pinkoder och lösenord till alla sina konton slutar med det. 

[Administratör]

Forumet har gällande domäncertifikat och har haft det sedan vi aktiverade https. Vi använder också senaste versionen av programvaran installerad enligt de rekommendationer avseende säkerhet som Simple Machines Forum ger. Om någon har ytterligare frågor, iaktagelser eller synpunkter på forumets säkerhet är hen varmt välkommen att höra av sig till Admin via PM.