Förslag: Stänga av SSL

Fast det är ju ett medvetet val man gör. Samma som låset på din ytterdörr. Ingen tvingar dig att ha låst, men har du det olåst har du gjort ett val att utsätta dig för en större risk för inbrott.

Samma med SSL/noSSL. Man gör ett val om man vill ha trafiken låst eller inte.


Okej, ponera nu att flygplatsen/cafeet/arbetsplatsen blockat TCP/443 utåt.
Då har du bara 2 val:
Inte besöka flashback alls
Besöka flashback via nossl och med en "i stort sett noll" (dvs okänd) risk för att få sitt konto/identitet kapad.

Och vi vill väl inte stänga ute besökare/medlemmar?

Vilken bra jämförelse. Förutom att de flesta vet hur ett dörrlås fungerar. Alla vet inte vad SSL gör, varför det kan vara en bra idé att använda det eller framförallt vilka risker det finns med att inte använda det. Vilket öppnar upp för hur medvetet valet faktiskt är.

Fin falsk dikotomi. Om man nu absolut vill besöka forumet på dessa platser så kan man som sagt prata med administratören för respektive plats (utom möjligtvis flygplatsen, men då kan man istället fixa ett 3g-modem rätt billigt om man nu absolut måste komma åt flashback där) eller fixa VPN (de flesta platser tillåter VPN vad jag vet). Problemet ligger i platsens policy snarare än i just flashback.

Men visst, samma argument kan ju användas mot gmail/hotmail/internetbanker också. Inte vill väl de mista kunder? Dock får man göra en avvägning, är den mängd trafik/kunder man tappar från detta upplägg värt besväret/problemen som följer med om man tillåter inloggning utan SSL?

För många tvivlar jag dock att deras flashbackkonto är lika viktigt som deras bankkonto, men ja.

Sen stänger man inte heller ute några av dessa personer. De har fulla möjligheter att skriva som alla andra, men bara inte från den platsen (skola/jobb/café/flygplats/vad du nu vill), och på de flesta av dessa platser har man ändå viktigare saker för sig än att skriva på diskussionsforum.

Du har inte heller svarat på mitt förslag om en alternativ lösning om att tillåta läsare att se forumet när de inte använder SSL, men förhindra inloggning utan SSL. Men jag misstänker att du inte finner den lika intressant ur ditt perspektiv.

Tycker ändå inte noSSL ska vara cripplad på något sätt så det inte går att logga in.

Okej, men detta då: Om man befinner sig på NoSSL och ska logga in så dyker följande javascriptpopup upp:
"Varning! Du befinner dig just nu över en oskyddad anslutning. Det betyder att det finns en risk för att ditt konto blir kapat eller att du får din identitet röjd, ifall en obehörig avlyssnar din internetanslutning. Särskilt bör denna risk beaktas om du är ansluten över trådlöst. Vill du fortsätta? Väljer du att avbryta tas du till den SSL-skyddade anslutningen automatiskt."

sedan OK och Avbryt. Trycker man OK så submittas loginformuläret, trycker man Avbryt så redirras man till https://www.flashback.org .

Fortfarande exakt samma risker som jag tog upp tidigare, enda skillnaden är att personerna får extra tjatrutor.

Zom: men då har ju användaren blivit förvarnad. Och med den rutan får man en sista chans att avbryta inloggningen (utan att något skickas över internet) och gå till SSL om man nu skulle vilja.

Jag tycker inte man ska stänga ute folk som inte har access till SSL av någon teknisk anledning från att varken läsa eller skriva på forumet. Låt alla läsa & skriva på forumet sålänge dem annars har rätten att göra det (dvs inte är bannade eller liknande)

SSL var inget som infördes för flashbacks skull för att spåra troll eller liknande, därför förlorar flashback inget på att låta användarna stänga av det om de vill.
SSL infördes för användarnas skull, och då borde väl varje användare själv få välja om de vill använda det eller inte - utan att flashback lägger sig i användarens val och cripplar/blockerar saker och ting.


Och enligt mig, om en användare inte förstår innebörden mellan valet "Icke-SSL" och "SSL", så är det inte fel på flashback för att flashback tillhandahåller det valet. Då är det fel på användaren som inte förstår sig på valet.


Möjligtvis skulle man kunna ha tvingad SSL i vissa forumdelar där tredjepart kan drabbas av att någon sitter och lyssnar på linjen - till exempel Passwords (så att inte konton i Passwords-forumet blir överutnyttjade eller spärrade pga en läcka).
Helt enkelt, forumdelen syns inte om man ligger på NoSSL.

Vilket jag redan sagt, flera gånger, att det faktiskt inte spelar någon roll hur mycket man än förvarnar användaren. Risken finns fortfarande där, det kommer man inte undan, och risken är helt onödig att ta då det finns bättre lösningar som inte innefattar någon risk alls.

Eller så fixar dessa användare sina problem istället för att flashback ska implementera en pissig workaround.

Och åter igen, de har full möjlighet att både läsa och skriva på forumet, de kan bara inte göra det från de platser eller enheter där SSL inte fungerar. Att kräva SSL är inte något som flashback är ensamma om, så därför är det bättre att dessa användare fixar sina problem istället.

Flashback värnar också om användarnas anonymitet och SSL är ett jävligt bra sätt att hindra folk från att lyssna av varandra (för att röja identitet) eller att fiska uppgifter (för att komma in på kontot). Varför ska flashback då tillhandahålla verktyget som göra att användare, i sin enfald eller av klumpighet, röjer sin identitet?

SSL hör knappast till allmänbildningen i hur det fungerar eller vad det gör.