Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Reacties (19)
03-01-2012, 11:01 door
SirDice
De reklame blokken komen nog steeds via HTTP. Daar valt ook niet zo veel aan te doen.
03-01-2012, 11:32 door
FSF-Moses
Welke reclameblokken?
03-01-2012, 11:39 door
Spiff has left the building
Door FSF-Moses: Welke reclameblokken?
Speciale aanbiedingen voor diegenen zonder adblocker ;-)
03-01-2012, 12:32 door
[Account Verwijderd]
[Verwijderd]
03-01-2012, 16:15 door
SirDice
Door pe0mot: Stel voor om bovenaan deze website te zetten:
Het heeft niets te maken met het wel of niet technisch voor elkaar krijgen. Als jouw advertentie-aanbieders alleen maar HTTP aanbieden heb je simpelweg geen keuze.Aangezien wij het technisch niet voor elkaar krijgen is deze security website niet veilig.
03-01-2012, 22:00 door
0101
@SirDice
En raad eens? http://server.bittads.com/js/bitt.js => https://server.bittads.com/js/bitt.js
:-)
Google Adsense ondersteunt het dan weer niet, helaas. (https://support.google.com/adsense/bin/answer.py?hl=nl&answer=10528)
@pe0mot
AdBlock Plus met EasyList + HTTPS Everywhere zou in principe genoeg moeten zijn om geen mixed content waarschuwingen meer te krijgen voor deze site.
En raad eens? http://server.bittads.com/js/bitt.js => https://server.bittads.com/js/bitt.js
:-)
Google Adsense ondersteunt het dan weer niet, helaas. (https://support.google.com/adsense/bin/answer.py?hl=nl&answer=10528)
@pe0mot
AdBlock Plus met EasyList + HTTPS Everywhere zou in principe genoeg moeten zijn om geen mixed content waarschuwingen meer te krijgen voor deze site.
04-01-2012, 14:19 door
Securesolutionskevin
heb er zelf momenteel geen last van.
In IE (9) kun je simpel weg display mixed content disablen
Komt de rommel ook niet mee.
Komt de rommel ook niet mee.
04-01-2012, 16:06 door
choi
AdBlock Plus met EasyList + HTTPS Everywhere zou in principe genoeg moeten zijn om geen mixed content waarschuwingen meer te krijgen voor deze site.
TS gebruikt Chrome. HTTPS Everywhere is niet voor deze browser beschikbaar.
Door SirDice:
Dat is naief en ondeskundig. Door pe0mot: Stel voor om bovenaan deze website te zetten:
Het heeft niets te maken met het wel of niet technisch voor elkaar krijgen. Als jouw advertentie-aanbieders alleen maar HTTP aanbieden heb je simpelweg geen keuze.Aangezien wij het technisch niet voor elkaar krijgen is deze security website niet veilig.
Als je https serveert bouw je de pagina https op, dus op jouw serverpark, gebruik je header rewrites en komtie er mooi schoon uit als hij je https offloader verlaat.
Meestal snijden je antwoorden meer hout.
Waarbij aangetekend: Je wilt geen clientside scripts die naar buiten lullen als je https gebruikt, of zo min mogelijk. (anders heb je geen keus, maar ben je verkeerd bezig)
04-01-2012, 20:46 door
Bitwiper
Door Anoniem:
Dat kost performance, als site-eigenaar kun je niet meer zo makkelijk zeggen dat jij niet wist dat er pornoreclame op je kindersite zou verschijnen en waarschijnlijk ben je aansprakelijk te stellen als een adverteerder op deze manier malware verspreidt.Door SirDice: Als jouw advertentie-aanbieders alleen maar HTTP aanbieden heb je simpelweg geen keuze.
Als je https serveert bouw je de pagina https op, dus op jouw serverpark, gebruik je header rewrites en komtie er mooi schoon uit als hij je https offloader verlaat.Daarnaast, zo kan de adverteerder geen cookies kwijt bij de bezoeker, kan hij ook niet zelf andere gebruikersgegevens verzamelen (IP-adres, gebruikte browser etc) en kan hij geen op-maat reclame aanbieden. En last but not least kan de site-eigenaar de adverteerder belazeren door meer ads op te halen dan daadwerkelijk bekeken worden (zelfs als helemaal niemand naar de site kijkt).
Zolang de meerderheid van de surfers geen adblockers gebruikt, en/of webbrowsers bij https uitsluitend content tonen vanaf de hostname die in de URL-balk en in het aangeboden het certificaat staat, gaat zoiets ook niet gebeuren.
04-01-2012, 22:19 door
SLight
Door Anoniem: Firefox + NoScript + Adblock Plus + Ghostery = geen gezeur ;)
+ HTTPS-Everywhere + HTTPS finder.
Helaas werkt NotScripts en Ghostery toevoegen in Chrome niet, dus dan maar negeren.
Door SLight:
+ HTTPS-Everywhere + HTTPS finder.
Helaas werkt NotScripts en Ghostery toevoegen in Chrome niet, dus dan maar negeren.
Door Anoniem: Firefox + NoScript + Adblock Plus + Ghostery = geen gezeur ;)
+ HTTPS-Everywhere + HTTPS finder.
Helaas werkt NotScripts en Ghostery toevoegen in Chrome niet, dus dan maar negeren.
Bedankt voor de tip :) dan voeg ik die twee nog toen aan m'n plugins
"Aangezien wij het technisch niet voor elkaar krijgen is deze security website niet veilig."
Wat een onzin. Je staart je blind op de vraag of -alles- met HTTPS wordt afgeschermd, terwijl je geen moment stil lijkt te staan bij de vraag -welke- informatie er beschermd dient te worden. Dat is immers het principe van een risico analyse, waarop je beveiliging baseert.
Ben je bang dat iemand via een sniffer kan zien welke banner de website aan jou laat zien ofzo ?
Wat een onzin. Je staart je blind op de vraag of -alles- met HTTPS wordt afgeschermd, terwijl je geen moment stil lijkt te staan bij de vraag -welke- informatie er beschermd dient te worden. Dat is immers het principe van een risico analyse, waarop je beveiliging baseert.
Ben je bang dat iemand via een sniffer kan zien welke banner de website aan jou laat zien ofzo ?
Door Bitwiper:
Daarnaast, zo kan de adverteerder geen cookies kwijt bij de bezoeker, kan hij ook niet zelf andere gebruikersgegevens verzamelen (IP-adres, gebruikte browser etc) en kan hij geen op-maat reclame aanbieden. En last but not least kan de site-eigenaar de adverteerder belazeren door meer ads op te halen dan daadwerkelijk bekeken worden (zelfs als helemaal niemand naar de site kijkt).
Zolang de meerderheid van de surfers geen adblockers gebruikt, en/of webbrowsers bij https uitsluitend content tonen vanaf de hostname die in de URL-balk en in het aangeboden het certificaat staat, gaat zoiets ook niet gebeuren.
A) Het kost nauwelijks performance op moderne hardware.Door Anoniem:
Dat kost performance, als site-eigenaar kun je niet meer zo makkelijk zeggen dat jij niet wist dat er pornoreclame op je kindersite zou verschijnen en waarschijnlijk ben je aansprakelijk te stellen als een adverteerder op deze manier malware verspreidt.Door SirDice: Als jouw advertentie-aanbieders alleen maar HTTP aanbieden heb je simpelweg geen keuze.
Als je https serveert bouw je de pagina https op, dus op jouw serverpark, gebruik je header rewrites en komtie er mooi schoon uit als hij je https offloader verlaat.Daarnaast, zo kan de adverteerder geen cookies kwijt bij de bezoeker, kan hij ook niet zelf andere gebruikersgegevens verzamelen (IP-adres, gebruikte browser etc) en kan hij geen op-maat reclame aanbieden. En last but not least kan de site-eigenaar de adverteerder belazeren door meer ads op te halen dan daadwerkelijk bekeken worden (zelfs als helemaal niemand naar de site kijkt).
Zolang de meerderheid van de surfers geen adblockers gebruikt, en/of webbrowsers bij https uitsluitend content tonen vanaf de hostname die in de URL-balk en in het aangeboden het certificaat staat, gaat zoiets ook niet gebeuren.
B) Alle moderne grote websites gebruiken een offloader om eventuele vermeende performanceproblemen te onderdrukken maar ook een reverse proxie om hun pagina's op de bouwen voor https.
C) De advertentie mafia wordt binnenkort wel gecorrigeerd door wetgeving.
D) Voorlichting leidt tot veilig surf gedrag en het weigeren van cookies
E) Moderne browsers gaan een deel van die ongevraagde advertentie onzin in de nabije toekomst blocken.
F) Het heeft geen zin om https aan te bieden als je toch niet van plan bent je pagina veilig te houden.
Gebruik dus gewoon een recverse proxie en een offloader (bijna alle software hiervoor doen beiden)
Je antwoord getuigt niet van realiteitszin.
07-01-2012, 10:08 door
[Account Verwijderd]
[Verwijderd]
https is alleen maar nuttig als er iets te verbergen valt. Waarom maken jullie je druk om zo een kleine dingen, of moet jij in je hoofd ook gewoon een check in het SECURE vakje hebben? helaas is het inderdaad zover gekomen met een groot deel van de security wereld.
credentials, session cookies, private info -> https
ads over https -> get a new sysadmin please. your wasting cpu cycles, time, performance, bandwidth for no additional security in the slightest.
credentials, session cookies, private info -> https
ads over https -> get a new sysadmin please. your wasting cpu cycles, time, performance, bandwidth for no additional security in the slightest.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
