Tegenwoordig (en eigenlijk al veel langer natuurlijk) moet je toch een ‘beetje’ meer opletten wat je precies aan het doen bent op het grote-boze-internet. 1 van die dingen is het inloggen in (of op?) een website. Stel dat je al goed oplet dat je weer een nieuw en uniek wachtwoord verzonnen hebt (heel goed!!!), dan zou het toch sneu zijn als het inlogformulier over http wordt verzonden en niet over https
Tegenwoordig haak ik bij een site met een inlog over http direct af. Zo heb ik dus ooit afscheid genomen van hallmark welke inmiddels wel begrijpen dat je site gewoon een ssl-certificaat moet hebben 🙂
Waarom moet je een inlog over http over niet willen?
Heel simpel, bij http gaan de gegevens gewoon in platte tekst over het internet lijntje. Hmmm nou en? Nou als iemand toch jouw verkeer over het lijntje zou kunnen zien, dan zien ze dus ook gewoon je inloggegevens voorbij komen. En als je de inloggegevens hebt, kan je natuurlijk als degene inloggen (mag niet, maar kan dan wel :)) Hieronder een concreet voorbeeld. Op een windows laptop heb ik de proxy-debug tool fiddler geïnstalleerd. Deze tool zou je kunnen vergelijken met een proxy (zoals deze ook vaak bij bedrijven/organisaties in gebruik is). Na de installatie start je de tool op de laptop. Vanaf dat moment zit deze proxy tool tussen de browser en de eigenlijke websites. Vervolgens ga je op zoek naar een site met een inlogformulier over http.
Hierna vul je wat gegevens in en submit/verzend je het formulier. Bij het verzenden gaat de data als platte tekst (niet versleuteld) door de proxy naar de eind website. In de proxy (Fiddler in dit geval), zijn de ingevulde gegevens gewoon zichtbaar.
Deze inloggegevens zijn dus m.b.v. een tooltje, proxy of open WIFI verbindingen te achterhalen. Dat is voor mij dus de reden dat ik afhaak bij een inlogformulier welke over http wordt verzonden.
Ja maar het is heel veel werk om een https/ssl site te maken
Euhhh, dat is wel een beetje onzin. Vrij recentelijk binnen 30 minuten een site van http naar https omgezet. Een ‘gratis’ SSL-certificaat via startssl opgehaald, dat kan voor de huis-tuin-en-keuken-site. Je kan natuurlijk ook eentje aanschaffen via networking4all, afhankelijk van de variant kan het verkrijgen van het certificaat iets langer duren. Een https verbinding vraagt meer capaciteit van de webserver maar daar zijn ook weer allerlei configuratie mogelijkheden voor.