PDA

Bekijk Volledige Versie : Site blokkeren voor meekijken



Eduard Bekker
13/12/02, 17:50
Beste mensen!

Ik ben bezig met een formulier met nogal gevoelige info:

Pastportnummer, Giropasnummer etc.

Is het mogelijk om een pagine op eenvoudige wijze te blokkeren voor
'meekijken?', via een php-script of anderzijds?

Het formulier wordt verstuurd per mail, waarbij de ontvanger bij voorkeur
ook geen al te zware capriolen moet gaan uithalen om te gaan ontcijferen.
Wat is hier raadzaam. Hoe groot zijn de risico's in de praktijk?

--
----------------------
Groetjes,
Eduard
http://www.websitez.nl
----------------------

Rene Pijlman
13/12/02, 18:26
Eduard Bekker:
>Ik ben bezig met een formulier met nogal gevoelige info:
>
>Pastportnummer, Giropasnummer etc.
>
>Is het mogelijk om een pagine op eenvoudige wijze te blokkeren voor
>'meekijken?'

Gebruikelijk is zo'n HTTP-post via SSL te versleutelen (Secure
Sockets Layer).

>Het formulier wordt verstuurd per mail

Bedoel je 1) met een CGI-script ofzo vanaf de webserver naar de
ontvanger, of 2) direct vanaf de PC van de eindgebruiker?

Dat zijn beveiligingstechnisch twee geheel verschillende
uitdagingen.

Bovenstaand antwoord (SSL) is voor situatie 1.

--
René Pijlman

Wat wil jij leren? http://www.leren.nl

Eduard Bekker
13/12/02, 18:30
Op 13-12-2002 17:26, vertrouwde "Rene Pijlman" mij het volgende toe:

> Eduard Bekker:
>> Ik ben bezig met een formulier met nogal gevoelige info:
>>
>> Pastportnummer, Giropasnummer etc.
>>
>> Is het mogelijk om een pagine op eenvoudige wijze te blokkeren voor
>> 'meekijken?'
>
> Gebruikelijk is zo'n HTTP-post via SSL te versleutelen (Secure
> Sockets Layer).
>
>> Het formulier wordt verstuurd per mail
>
> Bedoel je 1) met een CGI-script ofzo vanaf de webserver naar de
> ontvanger, of 2) direct vanaf de PC van de eindgebruiker?
Ik bedoel inderdaad 1 (via een formulier, dus).
Waar staat meer info over SSL-versleuteling?

--
----------------------
Groetjes,
Eduard
http://www.websitez.nl
----------------------

Rene Pijlman
13/12/02, 19:00
Eduard Bekker:
>Waar staat meer info over SSL-versleuteling?

Die stond in mijn sig. En in de documentatie van jouw web server
software.

--
René Pijlman

Wat wil jij leren? http://www.leren.nl

Jonathan
13/12/02, 19:55
> Waar staat meer info over SSL-versleuteling?

Je kan ervoor kiezen om zelf een certificaat te maken of er een te kopen bij
een instatie (CA) die door de gangbare browsers erkend wordt (als je er zelf
een maakt zullen de meeste browsers een melding geven dat de issuer niet
erkend is). Als je voor het laatste gaat zou je eens kunnen kijken op bv.
http://www.thawte.com/html/RETAIL/ssl/index.html daar heb ik mijn cert
gekocht. Staat ook heel veel info bij over hoe je zoiets moet installeren op
verschillende webservers (Apache, IIS, etc).

Succes!

Jonathan

Cathelijne Hornstra
13/12/02, 22:36
On Fri, 13 Dec 2002 17:26:49 +0100, Rene Pijlman wrote:

> Eduard Bekker:
>>Ik ben bezig met een formulier met nogal gevoelige info:
>>
>>Pastportnummer, Giropasnummer etc.
>>
>>Is het mogelijk om een pagine op eenvoudige wijze te blokkeren voor
>>'meekijken?'
>
> Gebruikelijk is zo'n HTTP-post via SSL te versleutelen (Secure
> Sockets Layer).
>
>>Het formulier wordt verstuurd per mail
>
> Bedoel je 1) met een CGI-script ofzo vanaf de webserver naar de
> ontvanger, of 2) direct vanaf de PC van de eindgebruiker?
>
> Dat zijn beveiligingstechnisch twee geheel verschillende
> uitdagingen.
>
> Bovenstaand antwoord (SSL) is voor situatie 1.

Ja, en dan voer je een en ander secure in op een ssl-enabled server en dan
gaat die server dat vervolgens met plain-smtp naar een andere host sturen.

Lekker veilig ;-(

grC!

Hilbert Barelds
13/12/02, 23:51
On Fri, 13 Dec 2002 21:36:10 +0100, Cathelijne Hornstra wrote:

> On Fri, 13 Dec 2002 17:26:49 +0100, Rene Pijlman wrote:
>
>> Eduard Bekker:
>>>Ik ben bezig met een formulier met nogal gevoelige info:
>>>
>>>Pastportnummer, Giropasnummer etc.
>>>
>>>Is het mogelijk om een pagine op eenvoudige wijze te blokkeren voor
>>>'meekijken?'
>>
>> Gebruikelijk is zo'n HTTP-post via SSL te versleutelen (Secure Sockets
>> Layer).
>>
>>>Het formulier wordt verstuurd per mail
>>
>> Bedoel je 1) met een CGI-script ofzo vanaf de webserver naar de
>> ontvanger, of 2) direct vanaf de PC van de eindgebruiker?
>>
>> Dat zijn beveiligingstechnisch twee geheel verschillende uitdagingen.
>>
>> Bovenstaand antwoord (SSL) is voor situatie 1.
>
> Ja, en dan voer je een en ander secure in op een ssl-enabled server en
> dan gaat die server dat vervolgens met plain-smtp naar een andere host
> sturen.
>
> Lekker veilig ;-(
>
> grC!

Niet mee eens, aangezien het om een form gaat is de data tussen browser
er server "beveiligd" (hangt van de grootte van de gebruike sleutel af).
Vervolgens gaat het action script aan de gang met de data. Deze kan dan
gewoon in dat script PGP versleuteld worden met een idoot grote sleutel
en dan naar een plain-smtp sturen, duurt wel een paar jaar voordat die
sleutel gekraakt wordt.

Je moet idd niet vergeten van de server naar mail box de boel ook te
beveiligen

En dus is het weer lekker veilig :D

Hilbert

Hans Wolters
14/12/02, 00:05
On Fri, 13 Dec 2002 22:51:26 +0100, Hilbert Barelds <hjbarelds.gamij@zonnet.nl.verwijderen> wrote:
> On Fri, 13 Dec 2002 21:36:10 +0100, Cathelijne Hornstra wrote:
>
>>> Dat zijn beveiligingstechnisch twee geheel verschillende uitdagingen.
>>>
>>> Bovenstaand antwoord (SSL) is voor situatie 1.
>>
>> Ja, en dan voer je een en ander secure in op een ssl-enabled server en
>> dan gaat die server dat vervolgens met plain-smtp naar een andere host
>> sturen.
>>
>> Lekker veilig ;-(
>
> Niet mee eens, aangezien het om een form gaat is de data tussen browser
> er server "beveiligd" (hangt van de grootte van de gebruike sleutel af).
> Vervolgens gaat het action script aan de gang met de data. Deze kan dan
> gewoon in dat script PGP versleuteld worden met een idoot grote sleutel
> en dan naar een plain-smtp sturen, duurt wel een paar jaar voordat die
> sleutel gekraakt wordt.
>
> Je moet idd niet vergeten van de server naar mail box de boel ook te
> beveiligen
>
> En dus is het weer lekker veilig :D

Als je uit gaat van een eigen server wel. Als je echter op een shared server
zit dan is het hacken van andermans data (database, sessions, wachtwoorden in
scripts, etc... ) een eitje.

Hans
--
Ik wil http://www.linux.nl wel overnemen voor het symbolische bedrag
van 1 EURO.

Jaap van Wingerde
14/12/02, 14:20
On Fri, 13 Dec 2002 18:55:54 +0100, "Jonathan"
<jonathan@nospam-tricolon.com> wrote in nl.internet.www.server-side in
message <uvk7s8k7vsen0a@corp.supernews.com> (Re: Site blokkeren voor
meekijken):

>erkend is). Als je voor het laatste gaat zou je eens kunnen kijken op bv.
>http://www.thawte.com/html/RETAIL/ssl/index.html daar heb ik mijn cert
>gekocht. Staat ook heel veel info bij over hoe je zoiets moet installeren op
>verschillende webservers (Apache, IIS, etc).

Die certificaten kosten afhankelijk van de periode 190 - 150 (dollar /
euro) per maand. Vind ik veel geld voor zo'n eenvoudige dienst. Kan
dat niet goedkoper?

Doeg,
Jaap.




--
************************************************** *****
Homo bureaucrasis: survival of the fittest?
************************************************** *****

Jaap van Wingerde
e-mail: 1234567890@xs4all.nl
Internet: http://www.vanwingerde.net/jaap/

Ronald Klip
14/12/02, 15:40
Jaap van Wingerde schreef:

[SSL-certificaten]

> Die certificaten kosten afhankelijk van de periode 190 - 150 (dollar /
> euro) per maand. Vind ik veel geld voor zo'n eenvoudige dienst. Kan
> dat niet goedkoper?

Dat lijken mij de prijzen per jaar.
Een vast niet volledig overzicht van aanbieders:
> http://directory.google.com/Top/Computers/Security/Public_Key_Infrastructure/PKIX/Tools_and_Services/Third_Party_Certificate_Authorities/

--
groet, Ronald