Webmail Nederlandse ISPs zo lek als een mandje
De webmail van Chello, Orange, Planet Internet, Tiscali, Tele2 en 12Move is niet goed beveiligd, waardoor een aanvaller andermans e-mail kan lezen en e-mailinstellingen wijzigen. Bij Het Net en Xs4all werden ook problemen aangetroffen, daar kon via een geprepareerd mailtje tijdelijk op de webmail van een abonnee worden ingebroken.
De betrokken internet providers hebben inmiddels te kennen gegeven dat ze de problemen zullen verhelpen. Toch is het bij 12Move, Tiscali, Orange, Tele2 en Chello nog steeds mogelijk om de e-mail van een abonnee naar een ander adres door te laten sturen, zonder dat hij of zij dit weet.
Volgens onderzoeker Martijn Brinkers, die het onderzoek uitvoerde, steken internetaanbieders te weinig tijd en geld in de beveiliging van hun webmail. "Ik denk dat de meeste providers het aanbieden van e-mail niet zien als belangrijks. Er is dan waarschijnlijk ook niet genoeg budget om de juiste mensen in dienst te nemen."
Als je een andere provider krijgt heb je gelijk een ander
email adres. Ik zeg tegen iedereen in mijn vrienden en
kennissen kring ook altijd neem een gmail of hotmail adres,
dat kan je altijd en overal gebruiken, en dan kan je veel
makkelijk switchen naar een andere ISP, zonder al je mail
contacten weer een ander mail adres te geven.
. Ik zeg tegen iedereen in mijn vrienden en
kennissen kring ook altijd neem een gmail of hotmail adres,
Totdat je tegen een online service aanloopt die hotmail of
gmail niet als geverifieerd mail-adres accepteerd....
Ik zeg tegen iedereen in mijn vrienden en
kennissen kring ook altijd neem een gmail of hotmail adres,
En hoeveel mensen kunnen die informatie lezen zonder het maar te
hoeven kraken denk je?
een gmail of hotmail adres,
Hoe zit het met de webmail beveiliging van deze providers ?
Waarom gebruiken mensen nog steeds de email van hun provider?
Als je een andere provider krijgt heb je gelijk een ander
email adres. Ik zeg tegen iedereen in mijn vrienden en
kennissen kring ook altijd neem een gmail of hotmail adres,
dat kan je altijd en overal gebruiken, en dan kan je veel
makkelijk switchen naar een andere ISP, zonder al je mail
contacten weer een ander mail adres te geven.
En wat denk je dat hotmail is? Inderdaad ook gewoon OWA. Net zo onveilig
dus.
Zolang ik een provider uitkies die poort 25 gewoon netjes
doorlaat, kan ik altijd m'n eigen adres houden.
Ik zeg tegen iedereen in mijn vrienden en
kennissen kring ook altijd neem een gmail of hotmail adres,
En hoeveel mensen kunnen die informatie lezen zonder het
maar te
hoeven kraken denk je?
Gmail maakt gebruik van een ssl verbinding, dat is dus wel
ok, verder stond er (zie link) nog iets over een veiligere
wachtwoordpolicy bij gmail Alleen de privacy policy van
Gmail, dat is een ander verhaal...
XS4All gebruikt het open-source squirrelmail en kon daardoor
snel zelf wat tijdelijk dichttimmeren, totdat de echte patch
er was (en dat was gelukkig snel).
Maar wat gebruikten de anderen? Gesloten of open? Koop of
zelfbouw?
En dan heb ik het nog niet eens over Windows Live.
Ik zag tot mijn schrik dat mijn Postvak van MSN 7.5 nu 1GB groot is.
Hoeveel sexartikelen kunnen daar in?Al hoewel als de nood het hoogst is.
besproken wordt gaat om webmail van ISP's. Eerst lezen dus,
voordat je met intelligente opmerkingen aankomt. Het gaat om
de URL die aangemaakt wordt als je een request doet om de
mail te lezen (=inloggen). Deze kan gespoofed worden,
waardoor je andermans mail kan lezen.
Het gaan gebruiken van certificaten zou dit probleem
oplossen, zonder dat er aan de software van de providers
geknutseld hoeft te worden. Werk aan de winkel dus.
Gmail en Hotmail zijn geen ISP's. Het probleem wat hier
besproken wordt gaat om webmail van ISP's. Eerst lezen dus,
voordat je met intelligente opmerkingen aankomt. Het gaat om
de URL die aangemaakt wordt als je een request doet om de
mail te lezen (=inloggen). Deze kan gespoofed worden,
waardoor je andermans mail kan lezen.
Het gaan gebruiken van certificaten zou dit probleem
oplossen, zonder dat er aan de software van de providers
geknutseld hoeft te worden. Werk aan de winkel dus.
Als jij met je blijkbaar superieure intelligentie de link in
het artikel had aangeklikt en het stuk in webwereld dus ook
had gelezen, had je geweten dat er in het onderzoek een
vergelijking tussen de genoemde ISP's en hotmail/gmail/yahoo
wordt gemaakt. Wordt het misschien tijd voor een stukje
zelfonderzoek alvorens op een dergelijke manier te reageren?
Gmail en Hotmail zijn geen ISP's. Het probleem wat hier
besproken wordt gaat om webmail van ISP's. Eerst lezen dus,
voordat je met intelligente opmerkingen aankomt. Het gaat om
de URL die aangemaakt wordt als je een request doet om de
mail te lezen (=inloggen). Deze kan gespoofed worden,
waardoor je andermans mail kan lezen.
Het gaan gebruiken van certificaten zou dit probleem
oplossen, zonder dat er aan de software van de providers
geknutseld hoeft te worden. Werk aan de winkel dus.
andermans mail te lezen.
De meerderheid van de lekken heeft toch echt met XSS te
maken waarbij binnengesmokkelde javascript code in een html
mail gevoelige informatie als session_id verzenden naar een
locatie vanaf waar er geprobeerd wordt om bijvoorbeeld een
session hijack te realiseren.
De kunst is dus om die html mail goed te filteren. Dat zou
heel makkelijk zijn indien de browsers zich netjes hielden
aan de specificaties zoals door w3c zijn opgesteld. Helaas
is dat niet het geval en zijn er tal van mogelijkheden ,om
maar eens een niet willekeurige browser te noemen, IE binnen
te smokkelen. Dus allerlij foutief gebruik van html dat
genegeerd zou moeten worden door de browser maar toch door
IE toegelaten wordt moet afgevangen worden.
Een goed voorbeeld van de idote XSS hacks die mogelijk zijn
kan je vinden op http://ha.ckers.org/xss.html.
Ik kan je vertellen dat de lijst op de genoemde link
limitatief is want er zijn recentelijk meer absurditeiten
gevonden.
Dus m.a.w. zolang html in mail toegestaan is valt het niet
mee om een waterdicht webmail programma te maken (zeg ik uit
ervaring).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.