Tråd: Ny säker inloggning [SSL]

Inom kort kommer en ny slags inloggningsruta att börja användas.

Utseendemässigt är det inte så stora skillnader annat än att alternativet "Fortsätt vara inloggad" finns med. Okryssad ruta gör att ny inloggning krävs i samband med nästa besök på medlemssidan (om du stängt din webbläsare sedan ditt förra besök). När man har ikryssad ruta så beter sig inloggningen precis som den gör nu.

http://www.bodycontact.com/pics/slask/2012-login-1.png

Tekniska förändringar
Inloggningsrutan kommer att ligga på en säker https://-sida med SSL-certifikat.

Ny version av cookien som håller dig inloggad. Läge att se till att du vet vilket lösenord du använder dig av och se till att din e-postadress som är knuten till kontot är aktuell och fungerande. Detta eftersom alla kommer att tvingas logga in åtminstone en gång via den nya inloggningsrutan då den gamla versionen av cookien kommer att göras ogiltig/raderas från din webbläsare.

I could crush him like an ant. But it would be too easy. No, revenge is a dish best served cold. I'll bide my time until ... Oh, what the hell. I'll just crush him like an ant.

Sv: Ny säker inloggning [SSL]

Är det bara inloggningen som är ssl?
Är resten av komunikationen med servern okrypterad, eller är all trafik krypterad?

...alltså, kan övervakning av trafik på jobbet kunna se kommunikationen okrypterad?

3

Sv: Ny säker inloggning [SSL]

Våra privatliv är inte offentliga även fast vi nu visar upp oss på Bodycontact.
Jag är riktigt förvånad att denna sajt inte har SSL/TLS kryptering som standard överallt. Såg att ni kör nginx och php vilket gör mig mer fundersam till varför inte.

  • TLS ger mig konfidentialitet att kommunikation mot bodycontact.com inte kan ses av någon annan (man-in-the-middle).

  • TLS ger mig integritet för mitt privatliv och att informationen jag ser på bodycontact.com inte har förändras innan den når mig.

  • TLS ger mig ett äkthetsbevis att det jag ser på min skärm verkligen kommer från domänen bodycontact.com.

Dessa tre punkter är precis det vi medlemmar skapar mot varandra innan vi träffas, sekretessförståelse, integritet och äkthet. Så varför tar inte sajten ansvar och visar på gott föredöme?


Det finns massor av texter om kryptering av webben, här är bara några få jag hittade vid snabb sökning.
http://www.w3.org/2001/tag/doc/web-https
https://www.eff.org/sv/encrypt-the-web
http://googlewebmastercentral.blogspot. … ignal.html
https://www.chromium.org/Home/chromium- … non-secure
https://cascadingmedia.com/insites/2015 … where.html

Sv: Ny säker inloggning [SSL]

Bra skrivet ! Håller med dig.

5 Senast ändrad av A true man (2015-08-04 18.45)

Sv: Ny säker inloggning [SSL]

ceecee, du har helt rätt. Det är mycket konstigt att BC inte använder krypterade anslutningar mot användarnas klienter trots att vi nu skriver år 2015.

Webmaster, vill du vara vänlig att förklara varför krypterad anslutning till BC inte är prioriterad?

Det finns många som surfar via sin arbetsplatsdator eller jobbmobil. De inser nog inte risken med att köra okrypterad trafik som deras arbetsgivare kan avlyssna i klartext, inklusive lösenord.

För dig som surfar från jobbet kan jag bara rekommendera dig att sluta omedelbart om du inte vill riskera att få en utskrift av trafikloggar i klartext över all din aktivitet på BC, inklusive ditt användarnamn och det lösenord du använder.

TIPS för säkrare BC-surfning:

  • Använd aldrig jobbdator eller jobbmobil för att surfa på BC.

  • Använd aldrig öppna wifi-nätverk (t ex såna som finns i gallerior, bibliotek, restauranger och caféer)

  • Skaffa en VPN-tjänst som anonymiserar din internettrafik.

Sv: Ny säker inloggning [SSL]

Kolla gärna in letsencrypt-projektet om du vill få ordning på HTTPS. Har precis implementerat det på en rad sajter som test och det fungerar riktigt bra. Även jag med nginx/php. Behöver du assistans med underhållet av BC så hjälper jag och säkert andra gärna till.

Sv: Ny säker inloggning [SSL]

SSL/TLS: Hur går det med detta?

Man kan inte undå att få känslan att det är menat att all dataöverföring skall gå i klartext eftersom min mamma kan installera detta till rimliga priser. Det är mer regel än undantag att använda HTTPS idag.

Tänk på att era användarnamn och lösenord går i klartext och är busenkelt att snappa upp.