Bokt.nl

**Geplaatst**: 13-06-14 08:25

Geplaatst: 13-06-14 08:25

Anoniem schreef:
Ik krijg ineens een sterk gevoel dat men op Bokt hier zeker wel van bewust is en dat mogelijk zo de Schaduwaccounts ontdekt werden door het beheer van Bokt.
Want als je beschuldigd wordt van een SA en je vraagt om bewijzen dan krijg je die niet omdat Bokt de wijze waarop zij achter SA's willen komen heel graag geheim wil houden.
Ik krijg er een beetje een naar smaakje van in mijn mond.

Graag opheldering hierover Boktbeheer!

Echt serieus de complottheorieen die men erop nahoudt.. hilarisch gewoon :')

Waar zijn de Snowdons en de mensen met zilverfolie op hun hoofd.. :')

En dit kan imo best openbaar, er zijn wel meer blogs en dergelijke geweest over wachtwoorden en openbare wifi netwerken.. Dus dit geldt heus niet alleen voor bokt, maar voor alles wat via een openbaar (restaurant, trein etc) netwerk gaat. Tenminste, als ik het filmpje toen goed begreep.. Ik vind het een beetje naief dat mensen hier nu ineens moeilijk over doen...

@Seb8iaan, is dat ook zo?

**Geplaatst door de TopicStarter** : 13-06-14 08:27

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 08:27

@Cer, standaard is SSL (beveiligde verbinding) binnen PHPbb (de software die voor het forum van Bokt gebruikt wordt) uitgeschakeld. Dus het klopt wat je zegt, er zijn nog veel meer fora/andere sites vatbaar voor dit soort trucjes.

**Geplaatst**: 13-06-14 08:33

Geplaatst: 13-06-14 08:33

Dus mijn bericht vind jij hilarisch @Cer? Jammer dat je zo denkt en direct mijn bericht belachelijk moet maken.

Laatst bijgewerkt door Anoniem op 13-06-14 08:44, in het totaal 1 keer bewerkt

**Geplaatst**: 13-06-14 08:41

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 08:41

Hoe gaan ze dan om met meerdere gebruikers op hetzelfde IP adres etc? Ik ken genoeg mensen waarvan moeder en 2 kinderen paardenliefhebber zijn.

**Geplaatst**: 13-06-14 08:43

Geplaatst: 13-06-14 08:43

Anoniem schreef:
Dus mijn bericht vind jij hilarisch @Cer? Jammer dat je zo kortzichtig bent en direct mijn bericht belachelijk moet maken.

Oh want jij mag wel negatieve suggesties doen gebaseerd op niks? Ik vind dat namelijk ook niet netjes en kortzichtig..
Ik kan dan wel heel beschaaft zeggen dat ik dat niet zo netjes vind, maar dat doe ik dan weer niet

maar dit gaat van het onderwerp af, dus ik zal het niet meer doen..

**Geplaatst**: 13-06-14 08:44

Geplaatst: 13-06-14 08:44

Je wordt op verdenking van een schaduw account echt niet direct gebanned, ze zoeken dat echt wel eerst uit.

TS, goed dat je dit aan het licht brengt

En een beetje bewustwording van het internet en gebruik ervan kan nooit kwaad. We zetten immers ook waarschuwingen over vieze mannetjes op de voorpagina een tijd geleden, dus dan is dit ook geen overbodige luxe! We weten allemaal dat het gebeurd, maar toch is een waarschuwing toch fijn om erop te hebben.

**Geplaatst**: 13-06-14 08:45

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 08:45

Echt wel Chelle Dora. Je wordt gewoon gebanned als ze je ook maar verdenken.

**Geplaatst**: 13-06-14 08:48

Geplaatst: 13-06-14 08:48

Anoniem schreef:
Echt wel Chelle Dora. Je wordt gewoon gebanned als ze je ook maar verdenken.

Goh, die ervaring heb ik niet hoor. Maar als je denkt dat je onterecht gebanned wordt mag je dit ook aankaarten bij de commissie geloof ik.

**Geplaatst**: 13-06-14 08:49

Geplaatst: 13-06-14 08:49

Volgens mij is dit niet de essentie van het topic... Problemen met bans kunnen ergens anders besproken worden..

is er trouwens een manier om zelf een beveiliging in te stellen als je een openbaar netwerk gebruikt?

**Geplaatst**: 13-06-14 08:49

Geplaatst: 13-06-14 08:49

Een OW of mesthoop lijken mij niet aan de orde

Bij beveiligingsproblemen stel ik het over het algemeen erg op prijs als deze direct bij mij of support worden gemeld, maar in dit geval is het een heel erg 'open en bloot' ding. Is eigenlijk iets dat iedereen al zou moeten weten... Heeft de afgelopen tijd ook in de kranten gestaan en dit probleem is iets dat speelt bij heel erg veel andere sites. Google, Facebook e.d. zijn ook pas vrij recent overgeschakeld op het versleutelen van al het verkeer.

Maar je hebt helemaal gelijk. Het gebruik van openbare/onversleutelde wifi-netwerken is een groot risico als je dat niet combineert met bijvoorbeeld een VPN. Het versleutelen van al het verkeer op Bokt staat al een tijd aantal jaren op de planning maar het daadwerkelijk implementeren daarvan heeft flink wat haken en ogen. Geen triviaal ding en door de beperkte tijd die we hebben zijn we hier nog niet aan toegekomen. Ook omdat er interessantere dingen uit de lucht te halen zijn als je inderdaad bij een openbaar netwerk wachtwoorden e.d. uit de lucht vist.

Voor de niet techneuten; voel je vrij de volgende twee alinea's over te slaan

Een van de grootste haken (of ogen) bij het invoeren op Bokt is dat SSL/TLS alleen goed werkt als alles op een pagina wordt versleuteld. Als dat niet zo is dan geeft je browser een 'mixed content' melding. Iets meer dan een jaar terug was dit o.a. een issue doordat advertentienetwerken nog geen SSL ondersteunden. Die situatie is de laatste maanden (o.a. sinds Snowden) gelukkig flink verbeterd. Een andere plek waar dit mis gaat is dat we hebben op Bokt veel externe afbeeldingen gebruiken. Aardig wat avatars komen van andere sites en het plaatsen van foto's moet op dit moment nog via sites als imgur, mijnalbum, etc. Die sites ondersteunen over het algemeen geen SSL. Als de Bokt upload er is dan hebben we daar een mogelijkheid om dit wel allemaal via SSL te doen (als we alle oude plaatjes ook via Bokt laten lopen).

Daarnaast zijn er nog wat kleinere punten. SSL vraagt flink wat rekenwerk van de server maar dat is sinds wat hardware upgrades aan deze kant geen enorme issue meer, veel nieuwe processoren hebben ook functionaliteit aan boord om dat rekenwerk sneller uit te voeren. Ook heeft de loadbalancer die we gebruiken op Bokt pas vrij recent ondersteuning voor SSL gekregen, dit was ook een aardig struikelpunt tot niet heel lang terug.

Maar inderdaad, het zou beter zijn als Bokt SSL zou gebruiken. Overigens is de toegevoegde waarde vrij relatief, een flinke tijd terug hebben we eens een onderzoek gedaan naar de wachtwoorden die mensen gebruiken op Bokt en ik denk dat je meer schade aan kan richten door '12345' als wachtwoord te proberen bij wat accounts dan door met wifi-sniffers aan de gang te gaan

Maar SSL staat sinds een tijdje op de planning. Het is wel een behoorlijk project om dat allemaal goed te kunnen testen, zorgen dat dit werkt met alle browsers en devices en met alle software die we aan deze kant gebruiken. Is meer dan even een configuratiebestandje aanpassen en gaan

Helaas is tijd schaars en de lijst met projecten lang dus ik denk dat het nog even gaat duren voor alles inderdaad via SSL gaat. Eerst zorgen dat de foto-upload online komt

Overigens voor de duidelijkheid; Bokt.nl heeft geen magische krachten, we hebben geen beschikking over prive-gegevens behalve dat wat je op het forum hebt gezet of wat je computer meestuurt (zoals je IP adres). Verder is het zo dat met de methode die Seb8iaan aanhaalt je alleen wachtwoorden kan achterhalen van mensen die binnen een straal van een paar meter van je zitten. Ook worden de wachtwoorden niet verstuurd als je inlogt door middel van 'automatisch inloggen', zonder wachtwoord kunnen mensen in theorie wel (even) in je account maar ze krijgen op die manier niet je wachtwoord in handen.

En natuurlijk is het altijd een slecht idee om op meerdere sites hetzelfde wachtwoord te gebruiken. Ik zal eens kijken of ik dat topic over wachtwoorden op Bokt terug kan vinden, de conclusie daarvan was best schokkend.

Overigens draait er al een tijdje een SSL test/experiment. Ik kan kijken of ik die publiek beschikbaar kan maken. Dat experiment is nog heel erg een experiment (met een aantal van bovenstaande haken en ogen) maar als je daar SSL gebruikt dan zijn in ieder geval je login gegevens veilig.

**Geplaatst door de TopicStarter** : 13-06-14 08:59

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 08:59

Bart, bedankt voor je (uitvoerige) toelichting. Ik begrijp dat het -vanwege de zaken die je al aanhaalt- lastig is om dit goed te kunnen implementeren.
De optie die je aangeeft voor een evt. publiek SSL experiment is handig, maar kan ook voor "paniek" zorgen bij mensen die bepaalde zaken (bijv. de foutmeldingen die je potentieel kunt krijgen) niet begrijpen.
Ik heb ook zeker niet de illusie dat dit op korte termijn geregeld kan zijn, maar maakt het bokt publiek hopelijk wat bewuster van hoe om te gaan met vertrouwelijke gegevens zoals inlog ed.

Citaat:
Ook worden de wachtwoorden niet verstuurd als je inlogt door middel van 'automatisch inloggen'

Met de gebruikte methode i.c.m. spoofing is het natuurlijk wel weer mogelijk om de server sessie te beëindigen en/of de cookies die hiervoor benodigd zijn te verwijderen. Maar dit vereist zeker een bepaalde technische kennis, waarvan ik -hier op bokt- de kans niet groot acht.

**Geplaatst**: 13-06-14 09:04

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:04

Je hebt niks aan SSL op bokt, alle foto's ed zullen onversleuteld weergegeven worden, wat in de browser met nog engere waarschuwingen zal geven. Als er niet overal ssl gebruikt wordt kan iedereen die je verbinding kan lezen de sessie cookie stelen die je stuurt over een onversleutelde verbinding en als jou ingelogd zijn.

**Geplaatst door de TopicStarter** : 13-06-14 09:06

Geplaatst door de TopicStarter : 13-06-14 09:06

Maarten, dat is wat Bart al aangeeft. Als SSL geïmplementeerd wordt, zal dat bokt-wide moeten gebeuren (incl. externe advertentie netwerken ed.)

**Geplaatst**: 13-06-14 09:17

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:17

@Maarten; op zich valt dat mee. Mixed content hoeft geen enorm probleem te zijn. Als je deze pagina zou bekijken via SSL dan zou alles versleuteld zijn behalve een aantal avatars. Dat die avatars onversleuteld binnenkomen levert in de meeste (volgens mij zelfs alle?) browsers geen grote waarschuwingen op. In Chrome is het enige effect dat je een geel ipv een groen icoontje hebt voor de URL (hier een screenshot: http://www.trishtech.com/2014/05/findin ... nt-chrome/ ). Dat is prima te overleven bij een experiment

Daarnaast hoeft mixed content ook niet veel af te doen aan de veiligheid zolang al het verkeer naar Bokt.nl wordt versleuteld. Dat je onversleuteld een plaatje van vanbragt.com af haalt zorgt er niet voor dat je sessie of wachtwoord ineens op straat ligt.

**Geplaatst**: 13-06-14 09:26

Geplaatst: 13-06-14 09:26

BartVB schreef:
@Maarten; op zich valt dat mee. Mixed content hoeft geen enorm probleem te zijn. Als je deze pagina zou bekijken via SSL dan zou alles versleuteld zijn behalve een aantal avatars. Dat die avatars onversleuteld binnenkomen levert in de meeste (volgens mij zelfs alle?) browsers geen grote waarschuwingen op. In Chrome is het enige effect dat je een geel ipv een groen icoontje hebt voor de URL (hier een screenshot: http://www.trishtech.com/2014/05/findin ... nt-chrome/ ). Dat is prima te overleven bij een experiment

Daarnaast hoeft mixed content ook niet veel af te doen aan de veiligheid zolang al het verkeer naar Bokt.nl wordt versleuteld. Dat je onversleuteld een plaatje van vanbragt.com af haalt zorgt er niet voor dat je sessie of wachtwoord ineens op straat ligt.

Je zou ook voordat bet wachtwoord wordt gepost deze al kunnen versleutelen. Php heeft hier meerdere opties voor. Bijvoorbeeld bcrypt. Je kan dit voordat je info post al doen via php. Ook zou je met javascript wachtwoorden al kunnen hashen voordat er wordt gepost.

Ik weet dat in phpbb. De database zelf wel veilig is, wachtwoorden staan gelukkig niet plain text in de database.

Ps. Dit is absoluut niet een probleem dat alleen bokt heeft. Het merendeel van de sites doen dit niet voordat een post wordt gestuurd.

Laatst bijgewerkt door Nils_010 op 13-06-14 09:30, in het totaal 1 keer bewerkt

**Geplaatst**: 13-06-14 09:30

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:30

@BartVB: Van dezelfde site zie ik ook http://www.trishtech.com/2014/04/enable ... in-chrome/ en eenzelfde iets voor ie9, dus ik neem aan dat standaard je dan geen avatars meer ziet oid. Zo te zien blokkeert firefox het ook standaard, wat op zich wel veiliger is. Om mixed mode dan aan te zetten vermindert de veiligheid op andere sites alleen om bokt te laten werken..

**Geplaatst door de TopicStarter** : 13-06-14 09:31

Geplaatst door de TopicStarter : 13-06-14 09:31

Encryptie voor verzending is zeker een mogelijkheid, al denk ik niet dat Bart veel customizations wil binnen het forum. Aangezien dit het onderhoud en voornamelijk upgrades lastiger maakt.

Vwb de wachtwoorden in de database: als je zoekt kun je waarschijnlijk wel zgn. rainbowtables vinden voor de phpbb hashes

. En als dba heb je ook toegang tot de salt gegevens die ook in de database staan

. Maar goed, de DBA zou je moeten kunnen vertrouwen

**Geplaatst**: 13-06-14 09:35

Geplaatst: 13-06-14 09:35

Polly schreef:
Zonnetje81 schreef:
Dan weet ik dat ik een ander wachtwoord moet aanmaken Of daar niet moet inloggen. dus toch wel nuttig ipv weer de achterdocht -> dit kan via pb....

precies ik heb mn ww op bokt ook maar weer eens veranderd in iets wat onbenulliger is dan het was.

mijn bokt ww is ook iets wat ik nergens anders voor gebruik en terecht blijkbaar...

maar het komt heeeeeel vaak voor dat mensen dezelfde wachtwoorden gebruiken voor vrijwel alles. Vaak dan ook nog eens te simpel...

**Geplaatst**: 13-06-14 09:37

Geplaatst: 13-06-14 09:37

@Maarten; Zie o.a.: https://community.qualys.com/blogs/secu ... -break-ssl De pagina waar jij op doelt heeft het waarschijnlijk over het toestaan van b.v. het laden van scripts als mixed content. Dat is iets dat standaard (terecht) wordt geblokkeerd door een aantal browsers. Mixed content wordt standaard overal toegestaan (hoogstens met een minimale waarschuwing als b.v. zo'n geel driehoekje) in alle browsers als die mixed content alleen uit plaatjes bestaat. Dat zou bij Bokt.nl ook het geval zijn dus is het aanpassen van je instellingen niet nodig. Met een beetje raden is het SSL experiment op Bokt overigens al prima te vinden. Garantie tot aan de deur, dit is zeker niet zoals we het uiteindelijk gaan uitrollen.

Wat betreft het versleutelen van wachtwoorden in de browser; dat kan maar is maar een heel beperkte beveiliging. Je sessie gegevens blijven vervolgens onversleuteld door de lucht gaan. De tijd die nodig is voor het via javascript beveiligingen van wachtwoorden stop ik dan liever in een echte oplossing als SSL.

**Geplaatst door de TopicStarter** : 13-06-14 09:38

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 09:38

https://ssl.bokt.nl/ ik had hem al gezien, blijkbaar heb je de authenticatie nu open gezet

**Geplaatst**: 13-06-14 09:41

Geplaatst: 13-06-14 09:41

BartVB schreef:
@Maarten; Zie o.a.: https://community.qualys.com/blogs/secu ... -break-ssl De pagina waar jij op doelt heeft het waarschijnlijk over het toestaan van b.v. het laden van scripts als mixed content. Dat is iets dat standaard (terecht) wordt geblokkeerd door een aantal browsers. Mixed content wordt standaard overal toegestaan (hoogstens met een minimale waarschuwing als b.v. zo'n geel driehoekje) in alle browsers als die mixed content alleen uit plaatjes bestaat. Dat zou bij Bokt.nl ook het geval zijn dus is het aanpassen van je instellingen niet nodig. Met een beetje raden is het SSL experiment op Bokt overigens al prima te vinden. Garantie tot aan de deur, dit is zeker niet zoals we het uiteindelijk gaan uitrollen.

Wat betreft het versleutelen van wachtwoorden in de browser; dat kan maar is maar een heel beperkte beveiliging. Je sessie gegevens blijven vervolgens onversleuteld door de lucht gaan. De tijd die nodig is voor het via javascript beveiligingen van wachtwoorden stop ik dan liever in een echte oplossing als SSL.

Idd ssl zou de mooiste oplossing zijn. Weet ook niet of phpbb een kant en klare oplossing bied voor het login formulier.

**Geplaatst**: 13-06-14 09:48

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:48

Alleen het login formulier beveiligen is een optie, dan is het iig niet mogelijk om wachtwoorden te onderscheppen, maar je account (of iig je sessie) is dan ook niet veilig. Dan liever alles via SSL.
Overigens doet de hoofdpagina van https://ssl.bokt.nl/ zo goed als niets in o.a. Chrome omdat daar scripts worden geladen zonder versleuteling en die worden wijselijk geblokkeerd door Chrome. https://ssl.bokt.nl/forums lijkt wel redelijk te werken op het moment. Maar, zoals ik zei, garantie tot aan de deur for the time being...

**Geplaatst door de TopicStarter** : 13-06-14 09:55

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst door de TopicStarter : 13-06-14 09:55

Hopelijk gebruik je geen OpenSSL die vulnerable (heartbleed) is

**Geplaatst**: 13-06-14 09:58

Re: Geen SSL op bokt --> Wachtwoord van bokt eenvoudig zichtbaar

Geplaatst: 13-06-14 09:58

Dat is op de dag dat die heartbleed bug bekend werd aangepast. O.a. de mailserver en wat andere delen gebruiken wel SSL.

**Geplaatst**: 13-06-14 10:14

Geplaatst: 13-06-14 10:14

Ik snap er geen barst van. .. maar wel rete interessant! :))