Tack för tipset. Men en fråga, med krypterad menar du bara att det är ett SSL certifikat från t.ex Geotrust. Likt som vi har på www2.svmc.se där vi behandlar att bli medlem och anmälan till kurser etc?
Va? SMC hackat? Information, här!
- Thread starter Swedie
- Start date
Paerhc
New member
HTTPS och SSL är lite samma sak när det gäller kryptering av datorkommunikation. HTTPS använder SSL. SSL certifikat använder också SSL. Det är som ett fingeravtryck så att jag ser att servern är den som den utger sig för att vara och att datorkommunikationen är säker.
I stället för SSL, ”Secure Sockets Layer”, kan man använda "Transport Layer Security", TLS. Det är en nyare teknik.
HTTPS anänder sig av SSL för att kryptera data som går genom HTTP. Det är på applikationslagernivå (OSI-modellen). Jag vet att åtminstone min Internetbank använder HTTPS när jag är inne och hanterar mina pengar via Internetbanken. Då blir den kommunikationen krypterad via just HTTPS och är därigenom säker. Datorn kapslar in och krypterar data på applikationslagernivån och gör den oläslig för andra. Men man måste ha stöd för SSL certifikat i sin webbläsare. Det finns i de flesta webbläsare idag. Internet Explorer använder sig av ett litet hänglås i rutan där webbadressen står. Då vet jag som användare att det är en säker anslutning.
Och som svar på din fråga så är det certifikat ni använder er av säkert. Leta efter det där hänglåset och/eller https så syns det att er kommunikation är säker.
druid
New member
Det förutsätter att utfärdaren av certet är trovärdig och att certet stämmer överens med siten som man är inne på.
Ett selfsign-cert är lika säkert som ett utfärdat av en extern firma när det gäller själva förbindelsen, det som man däremot
inte vet är om man verkligen pratar med rätt site eller om någon kör en man-in-the-middle attack mot dig.
Om jag minns rätt så lyssnar firesheep på det lokala nät du sitter på för att sniffa trafiken som passerar. Har du släppt
in någon på 'ditt' nätverk som kan göra detta så har du andra problem som behöver tas om hand om också.
Tror användningsområdet är som störst på it-cafer samt för svartsjuka makar/makor...
Airshark och wireshark är 2 andra program som man också kan använda sig av om man bara vill lyssna på vad
som händer där ute i.
Så vad vill jag ha sagt med detta. Jo att visst bör SMC tillhandahålla en säker uppkoppling med cert osv men det man
ska tänka på att i de flesta fall när siter blir hackade är att det oftast är frågan om en injection attack (alternativt en xss).
Då får dom ut hela medlemsregistret samt det krypterade lösenordet som sedan knäcks. Ett hänglås kan mycket väl
ge en falsk säkerhetskänsla.
Ett selfsign-cert är lika säkert som ett utfärdat av en extern firma när det gäller själva förbindelsen, det som man däremot
inte vet är om man verkligen pratar med rätt site eller om någon kör en man-in-the-middle attack mot dig.
Om jag minns rätt så lyssnar firesheep på det lokala nät du sitter på för att sniffa trafiken som passerar. Har du släppt
in någon på 'ditt' nätverk som kan göra detta så har du andra problem som behöver tas om hand om också.
Tror användningsområdet är som störst på it-cafer samt för svartsjuka makar/makor...
Airshark och wireshark är 2 andra program som man också kan använda sig av om man bara vill lyssna på vad
som händer där ute i.
Så vad vill jag ha sagt med detta. Jo att visst bör SMC tillhandahålla en säker uppkoppling med cert osv men det man
ska tänka på att i de flesta fall när siter blir hackade är att det oftast är frågan om en injection attack (alternativt en xss).
Då får dom ut hela medlemsregistret samt det krypterade lösenordet som sedan knäcks. Ett hänglås kan mycket väl
ge en falsk säkerhetskänsla.
Paerhc
New member
Kanske ska man satsa på en VPN anslutning för de som arbetar hemifrån eller som behöver en inloggning utifrån på medlemsservern?
Vad tycker ni?
Eller ska man bara kunna logga in på medlemsservern från sin arbetsplats?
Med VPN kan folk arbeta hemifrån. Det är bara att använda VPN-anslutningen och koppla upp sig mot servern. Forumet är nog mindre viktigt. Men det är klart att det bör också säkras.
VPN med all erfoderlig säkerhet när det gäller kryptering och annat, med hjälp av IPsec med de protokoll som kommer med det, borde vara den säkraste lösningen. Med ett VPN borde IPsec, med AH-, ESP oh IKE-protokollen omöjliggöra även "man-in-the-middle" attacker. Fast det kanske finns ännu bättre och säkrare lösningar?
Används ett trådlöst nät så måste ju den trafiken säkras först oavsett om man sitter hemma och är uppkopplad eller på jobbet. Den ska också krypteras, med WPA2, annars är inte ens VPN en lösning.
Och så måste man vara noga med att uppdatera servern och operativsystemet på den, och den programvara som används för medlemsregister och annat. Detsamma gäller datorn hemma och jobbdatorerna. Stäng de tjänster som inte behövs på servrarna (både medlemsservern och forumservern). Håll koll med hjälp av programvara (IDPS) som säger till om någon tar sig in oombedd på någon av servrarna. Stäng alla tjänster som inte används.
Kryptera alla hårddiskar med bitlocker om ni kör Microsoft alltså, vilket jag inte ska veta. Kryptera all kommunikation med de verktyg som kommer med operativsystemet. Tvinga alla datorer att kryptera all kommunikation på LAN. Nu kan jag inte Linux så bra, så jag ska inte uttala mig om det.
Vad tycker ni?
Eller ska man bara kunna logga in på medlemsservern från sin arbetsplats?
Med VPN kan folk arbeta hemifrån. Det är bara att använda VPN-anslutningen och koppla upp sig mot servern. Forumet är nog mindre viktigt. Men det är klart att det bör också säkras.
VPN med all erfoderlig säkerhet när det gäller kryptering och annat, med hjälp av IPsec med de protokoll som kommer med det, borde vara den säkraste lösningen. Med ett VPN borde IPsec, med AH-, ESP oh IKE-protokollen omöjliggöra även "man-in-the-middle" attacker. Fast det kanske finns ännu bättre och säkrare lösningar?
Används ett trådlöst nät så måste ju den trafiken säkras först oavsett om man sitter hemma och är uppkopplad eller på jobbet. Den ska också krypteras, med WPA2, annars är inte ens VPN en lösning.
Och så måste man vara noga med att uppdatera servern och operativsystemet på den, och den programvara som används för medlemsregister och annat. Detsamma gäller datorn hemma och jobbdatorerna. Stäng de tjänster som inte behövs på servrarna (både medlemsservern och forumservern). Håll koll med hjälp av programvara (IDPS) som säger till om någon tar sig in oombedd på någon av servrarna. Stäng alla tjänster som inte används.
Kryptera alla hårddiskar med bitlocker om ni kör Microsoft alltså, vilket jag inte ska veta. Kryptera all kommunikation med de verktyg som kommer med operativsystemet. Tvinga alla datorer att kryptera all kommunikation på LAN. Nu kan jag inte Linux så bra, så jag ska inte uttala mig om det.
För att nå något inom SMC (medlemsregister etc) så måste man idag ha VPN.
Vi (jag) har även installerat SSL certifikat på www2.svmc.se, för att som sagt bättra på säkerheten runt personuppgifter som kan ligga där.
Forumet har sedan starten, 2006, legat på en separat hosting och är fullkomligt utanför SMC:s övriga system. Så det finns ingen chans att en som kommer in i databasen på forumet, kan ta sig vidare till känsliga uppgifter på andra ställen inom SMC.
Vi (jag) har även installerat SSL certifikat på www2.svmc.se, för att som sagt bättra på säkerheten runt personuppgifter som kan ligga där.
Forumet har sedan starten, 2006, legat på en separat hosting och är fullkomligt utanför SMC:s övriga system. Så det finns ingen chans att en som kommer in i databasen på forumet, kan ta sig vidare till känsliga uppgifter på andra ställen inom SMC.