image

Teveel banken gebruiken geen SSL-login formulier

donderdag 20 april 2006, 10:48 door Redactie, 6 reacties

De stelling dat Nederlandse banken te weinig tegen phishing scams doen blijkt ook voor buitenlandse banken op te gaan. Het Internet Storm Centrum komt met een interesssant verhaal over niet-versleutelde banksites. Het blijkt dat er banksites bestaan die hun homepages onversleuteld op het internet zetten, terwijl de login pagina ook op deze gewone homepages staan. Pas bij het inloggen (internetbankieren) wordt de informatie naar een ander internetadres versleuteld toegezonden via een SSL-verbinding.

Waarom dit een slecht ontwerp is, blijkt wel uit het feit dat bij een niet versleutelde homepage men ook niet weet om men met de echte bank "praat" en daarom dus niet weet of het inlogformulier ook echt, of zelfs gespooft is. Er zijn twee goede redenen om altijd een SSL-verbinding te gebruiken: ten eerste is de ingevoerde informatie versleuteld, de tweede reden is authenticatie.

Er blijken in toenemende mate steeds meer banken op het internet de gewoonte te krijgen een veilige methode te verruilen voor een onveilige methode: een gewone homepage, maar de loginpagina verstuurt de informatie na het invullen naar een internetadres waar wél een SSL-verbinding aanwezig is. Met een aantal handlers heeft het ISC een lijst samengesteld van onveilige banksites, die op deze pagina is te bekijken.

Ook hier geldt de stelling dat banksites meer moeten gaan doen om scams en spoofing van hun sites tegen te gaan en dat de gebruikers altijd worden aangeraden om onveilige sites niet te gebruiken voor het internetbankieren.

Met dank aan Peter V. voor het melden van dit nieuws

Reacties (6)
20-04-2006, 11:12 door Anoniem
tja... SSL verbinding is zwaarder voor de servers van de banken, wat wil
zeggen dat ze meerdere servers in dienst moeten nemen, meerdere
servers beveiligen en dus... meer geld kost...
en wat willen de banken doen? juist... geld verdienen, en niet meer
uitgeven
20-04-2006, 11:34 door pipo
''De stelling dat Nederlandse banken te weinig tegen
phishing scams doen blijkt ook voor buitenlandse banken op
te gaan.''

Vermeldt hier dan wel bij dat dit de stelling van de
redactie is. Nu wordt de indruk gewekt dat dit de algemene
maatschappelijke gedachte is, nogal kortzichtig.
20-04-2006, 13:23 door G-Force
@Pipo
Er wordt nergens gezegd dat dit een algemeen maatschappelijke
gedachte zou zijn. De lijst van het ISC is nog lang niet compleet (wordt wel
aan gewerkt). Het gaat hier over de zorg dat gebruikers moeten oppassen
met onbeveiligde verbindingen. Niet meer en niet minder.
20-04-2006, 13:25 door Virtal
SSL is niet zondermeer 'heilig', waar ook fouten mee worden
gemaakt.
Servercertificaten zijn soms te klein, (fallback) ciphers te
zwak, fouten in certificate-chains e.d.
20-04-2006, 16:23 door pipo
Door Peter V.
@Pipo
Er wordt nergens gezegd dat dit een algemeen maatschappelijke
gedachte zou zijn. De lijst van het ISC is nog lang niet
compleet (wordt wel
aan gewerkt). Het gaat hier over de zorg dat gebruikers
moeten oppassen
met onbeveiligde verbindingen. Niet meer en niet minder.


Lees dan de eerste zin van het artikel nog eens, ontleed
deze en vraag je dan nogmaals af wat er staat. Ik weet dat
Nederlands een moeilijke taal is maar leg nog eens de nadruk
op de woorden 'blijkt ook op te gaan'.

Bovendien beweer ik niet dat er iets gezegd is, er staat
WORDT DE INDRUK GEWEKT. Ook dat betekend iets anders.

En die zorg is me duidelijk, dat hoef je me niet uit te leggen.
20-04-2006, 17:52 door SirDice
Door Anoniem
tja... SSL verbinding is zwaarder voor de servers van de banken, wat wil zeggen dat ze meerdere servers in dienst moeten nemen, meerdere servers beveiligen en dus... meer geld kost...en wat willen de banken doen? juist... geld verdienen, en niet meer uitgeven
Zeker nooit gehoord van SSL accelerators?

Een veel voorkomende opzet is een reverse proxy met SSL accelerator. Deze filtert, op laag 7, de binnenkomende requests en stuurt deze vervolgens, middels het "normale" HTTP, door naar de uiteindelijke webserver. Voordeel hierbij is dat de webserver niet aangepast hoeft te worden en kan doen waar die voor is: webpagina's ophoesten. En een bijkomend voordeel is dat je op de verbinding tussen de reverse proxy en de webserver ook nog eens een IDS kunt plaatsen (waar je dan daadwerkelijk wat aan hebt, SSL verkeer is een beetje lastig te IDS'en).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.