On Wed, Oct 26, 2016 at 08:38:58AM -0700, Tom Hughes wrote:<br>
> Yes our dev servers are a case in point, but the simple answer is that we have no idea who is using the code and in what configurations.<br>
<br>
Would you accept help to enable https for them by using letsencrypt<br>
certificates?<br>
<br>
> I also fail to see how you can MITM a link to a user from a friend<br>
> message - it's a public link that anybody can visit! The links which<br>
> matter are the ones that will automatically log you in, which is the<br>
> signup confirmation and the password reset link and possibly the email<br>
> change but I would need to check that.<br>
<br>
AFAIU only registered users get these notifications. Therefore a MITM<br>
attacker could include a login form in the response, keep the user on<br>
plain http for all requests (an example attack tool is<br>
https://moxie.org/software/sslstrip/ ) or directly read the user's<br>
authentication cookie since it will be transmitted over plain HTTP.<br>
Therefore if account security matters, the site should only use HTTPS.<br>
If this is not yet possible, then it is important to make sure that<br>
authenticated/registered users access the site only via secured HTTPS.<br>
<br>
> I am not going to allow this PR to be used to pursue "https by<br>
> default" by the backdoor. If you want to argue for that then it is a<br>
> separate discussion and it's not a decision I'm going to make by<br>
> myself as the primary maintainer of the code - it's a policy issue not<br>
> a codign issue.<br>
<br>
I do not want to sneak this in. Nevertheless I have the opinion that it<br>
is the way it should be. From my point of view it is hard to understand<br>
the criteria for which you agree that HTTPS makes sense.<br>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256684572">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABWnLZRddMOdF0M4CCMP_SFi_5jHQYDUks5q4MfegaJpZM4KhSPK">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABWnLS02SbkgvlxzzbLfla4f2qjONReiks5q4MfegaJpZM4KhSPK.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256684572"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/openstreetmap/openstreetmap-website","title":"openstreetmap/openstreetmap-website","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/openstreetmap/openstreetmap-website"}},"updates":{"snippets":[{"icon":"PERSON","message":"@tyll in #1341: On Wed, Oct 26, 2016 at 08:38:58AM -0700, Tom Hughes wrote:\n\u003e Yes our dev servers are a case in point, but the simple answer is that we have no idea who is using the code and in what configurations.\n\nWould you accept help to enable https for them by using letsencrypt\ncertificates?\n\n\u003e I also fail to see how you can MITM a link to a user from a friend\n\u003e message - it's a public link that anybody can visit! The links which\n\u003e matter are the ones that will automatically log you in, which is the\n\u003e signup confirmation and the password reset link and possibly the email\n\u003e change but I would need to check that.\n\nAFAIU only registered users get these notifications. Therefore a MITM\nattacker could include a login form in the response, keep the user on\nplain http for all requests (an example attack tool is\nhttps://moxie.org/software/sslstrip/ ) or directly read the user's\nauthentication cookie since it will be transmitted over plain HTTP.\nTherefore if account security matters, the site should only use HTTPS.\nIf this is not yet possible, then it is important to make sure that\nauthenticated/registered users access the site only via secured HTTPS.\n\n\u003e I am not going to allow this PR to be used to pursue \"https by\n\u003e default\" by the backdoor. If you want to argue for that then it is a\n\u003e separate discussion and it's not a decision I'm going to make by\n\u003e myself as the primary maintainer of the code - it's a policy issue not\n\u003e a codign issue.\n\nI do not want to sneak this in. Nevertheless I have the opinion that it\nis the way it should be. From my point of view it is hard to understand\nthe criteria for which you agree that HTTPS makes sense.\n"}],"action":{"name":"View Pull Request","url":"https://github.com/openstreetmap/openstreetmap-website/pull/1341#issuecomment-256684572"}}}</script>