Ønsker å kryptere Joomla pålogging (SSL)
Moderators: sone12, Per Yngve Berg
- datatrond
- Joomla! Explorer
- Posts: 299
- Joined: Wed Feb 28, 2007 2:46 am
- Location: Oslo, Norway
- Contact:
Ønsker å kryptere Joomla pålogging (SSL)
Jeg er bekymret for å sende brukerpålogging i klartekst, og ønsker å implementere SSL for pålogging av alle brukere.
Noen som har erfaring med dette og har testet det ut i praksis med Joomla?
Hva er deres erfaring med dette, og hvilke feller kan jeg gå i ved å implementere SSL for brukerpålogging?
Håper noen kan gi noen gode råd!
Trond :-)
Noen som har erfaring med dette og har testet det ut i praksis med Joomla?
Hva er deres erfaring med dette, og hvilke feller kan jeg gå i ved å implementere SSL for brukerpålogging?
Håper noen kan gi noen gode råd!
Trond :-)
- rued
- Joomla! Virtuoso
- Posts: 4840
- Joined: Fri Sep 16, 2005 10:23 pm
- Location: Finland / Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
Har du kikket på posten og lenken rett nedenfor ditt innlegg:
http://forum.joomla.org/index.php/topic,165919.0.html - ingen hjelp der?
Sikkerhet er noe norske nettsteder ikke er så flinke, eller nøye med - dessverre.
http://forum.joomla.org/index.php/topic,165919.0.html - ingen hjelp der?
Sikkerhet er noe norske nettsteder ikke er så flinke, eller nøye med - dessverre.
Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
- jenscski
- Joomla! Ace
- Posts: 1465
- Joined: Thu Aug 18, 2005 6:58 am
- Location: Tønsberg, Norway
Re: Ønsker å kryptere Joomla pålogging (SSL)
Webhotellet ditt må også støtte https for at du skal kunne benytte SSL
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/
- datatrond
- Joomla! Explorer
- Posts: 299
- Joined: Wed Feb 28, 2007 2:46 am
- Location: Oslo, Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
Kikket på posten og leste gjennom innholdet i linken, og det første som slår meg er at dette (Kryptering) ikke er standard funksjonalitet. Dette burde være et krav for en hver slik løsning, men slik jeg forstår det så er dette noe av det nye som kommer i neste versjon av Joomla?
Jeg koblet opp WinPCap'en min med Whireshark (Ethereal) og scannet fra en annen maskin via trådløst, og fanget opp både brukernavn og passord til Admin konto for mitt webområde på et par sekunder, og dette er rett og slett ikke godt nok- i en moderne web basert løsning.
Ville jo være forferdelig leit dersom noen uvedkommende fikk adgang til deres Joomla siter og begynte å legge ut ukorrekt informasjon.
Med min bakgrunn innen (u)sikkerhet hvor jeg også underviser i "Etisk Hacking", så har jeg kanskje en høyere grad av paranoia - fordi jeg vet hvilke muligheter som finnes, og personlig så mener jeg at man undervurderer risikoen ved dårlig sikkerhet - ikke bare via Joomla, men jevnt over det hele.
Ser frem til å kunne gå i et kundemøte og fortelle om innebygget støtte for SSL kryptering av pålogging i Joomla!
Jeg har en del kunder innen olje og energi bransjen, og noen av dem er børsnoterte. I deres situasjon så har man ofte god oversikt over fordeler / ulemper, og man har gjerne krav som må følges, og da gjerne med stor fokus på sikkerhet.
En oppegående IT-sjef vil "rygge" man dersom man presenterer en løsning uten kryptering av brukernavn og passord. Særlig for Admin konto.
Jeg venter i spenning :-)
Med vennlig hilsen
Trond
Jeg koblet opp WinPCap'en min med Whireshark (Ethereal) og scannet fra en annen maskin via trådløst, og fanget opp både brukernavn og passord til Admin konto for mitt webområde på et par sekunder, og dette er rett og slett ikke godt nok- i en moderne web basert løsning.
Ville jo være forferdelig leit dersom noen uvedkommende fikk adgang til deres Joomla siter og begynte å legge ut ukorrekt informasjon.
Med min bakgrunn innen (u)sikkerhet hvor jeg også underviser i "Etisk Hacking", så har jeg kanskje en høyere grad av paranoia - fordi jeg vet hvilke muligheter som finnes, og personlig så mener jeg at man undervurderer risikoen ved dårlig sikkerhet - ikke bare via Joomla, men jevnt over det hele.
Ser frem til å kunne gå i et kundemøte og fortelle om innebygget støtte for SSL kryptering av pålogging i Joomla!
Jeg har en del kunder innen olje og energi bransjen, og noen av dem er børsnoterte. I deres situasjon så har man ofte god oversikt over fordeler / ulemper, og man har gjerne krav som må følges, og da gjerne med stor fokus på sikkerhet.
En oppegående IT-sjef vil "rygge" man dersom man presenterer en løsning uten kryptering av brukernavn og passord. Særlig for Admin konto.
Jeg venter i spenning :-)
Med vennlig hilsen
Trond
- jenscski
- Joomla! Ace
- Posts: 1465
- Joined: Thu Aug 18, 2005 6:58 am
- Location: Tønsberg, Norway
Re: Ønsker å kryptere Joomla pålogging (SSL)
Innebygget støtte for SSL vil du jo aldri få, for det er jo selve webserveren som må støtte https, men Joomla! må også støtte nettadresser av typen https://. Noe som både Joomla! 1.0.12 og J! 1.5 skal støtte(har ikke testet selv).datatrond wrote: Ser frem til å kunne gå i et kundemøte og fortelle om innebygget støtte for SSL kryptering av pålogging i Joomla!
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/
- rued
- Joomla! Virtuoso
- Posts: 4840
- Joined: Fri Sep 16, 2005 10:23 pm
- Location: Finland / Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
Stemmer..
Joomla! støtter SSL, men ikke dynamisk.
Det vil si at man kan uten problem kjøre hele siden over https ved å angi dette i konfigurasjonen, men man kan ikke uten videre kjøre både http for gjester og https for innlogging - det krever modifisering.
Joomla! støtter SSL, men ikke dynamisk.
Det vil si at man kan uten problem kjøre hele siden over https ved å angi dette i konfigurasjonen, men man kan ikke uten videre kjøre både http for gjester og https for innlogging - det krever modifisering.
Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
- datatrond
- Joomla! Explorer
- Posts: 299
- Joined: Wed Feb 28, 2007 2:46 am
- Location: Oslo, Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
Takk for raskt svar!
Jeg formulerte meg muligens litt dårlig - men tror jeg vet hvor jeg skal begynne nå.
Skal teste dette ut når jeg kommer litt lenger ut i prosjektet :-)
Hadde vært artig å utveksle litt ideer og erfaringer med noen som HAR testet dette selv, så dersom det finnes noen der ute, så blir dere veldig populær her dersom dere kontakter meg :-)
Trond
Jeg formulerte meg muligens litt dårlig - men tror jeg vet hvor jeg skal begynne nå.
Skal teste dette ut når jeg kommer litt lenger ut i prosjektet :-)
Hadde vært artig å utveksle litt ideer og erfaringer med noen som HAR testet dette selv, så dersom det finnes noen der ute, så blir dere veldig populær her dersom dere kontakter meg :-)
Trond
- rued
- Joomla! Virtuoso
- Posts: 4840
- Joined: Fri Sep 16, 2005 10:23 pm
- Location: Finland / Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
Stor sjanse for at du finner noen i det engelske sikkerhetsforumet:datatrond wrote: Hadde vært artig å utveksle litt ideer og erfaringer med noen som HAR testet dette selv, så dersom det finnes noen der ute, så blir dere veldig populær her dersom dere kontakter meg
http://forum.joomla.org/index.php/board,267.0.html
Bare søk etter ssl der og kast deg på en tråd om emnet.
Last edited by rued on Mon May 14, 2007 8:47 am, edited 1 time in total.
Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
- rued
- Joomla! Virtuoso
- Posts: 4840
- Joined: Fri Sep 16, 2005 10:23 pm
- Location: Finland / Norway
- Contact:
Re: Ønsker å kryptere Joomla pålogging (SSL)
PS! Se gjerne også FAQ for sikkerhet i Joomla!:
http://help.joomla.org/component/option ... temid,268/
Pluss tråd om sikring av administrasjonen ved hjelp av SSL:
http://forum.joomla.org/index.php/topic ... #msg593630
http://help.joomla.org/component/option ... temid,268/
Pluss tråd om sikring av administrasjonen ved hjelp av SSL:
http://forum.joomla.org/index.php/topic ... #msg593630
Last edited by rued on Mon May 14, 2007 9:01 am, edited 1 time in total.
Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.
Norske oversettelser -> viewtopic.php?f=210&t=1006497