Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
G DATA: veilige http-verbinding ??
06-02-2009, 21:13 door Spiff has left the building, 12 reacties
Toen ik recent inlogde op m'n pc, kreeg ik een G DATA pop-up, met het aanbod mijn licentie te vernieuwen.
Prima, dat zat er inderdaad aan te komen.
Ik klikte "bestellen", om mijn licentie te vernieuwen, maar zag vervolgens dat de de "renew"-mogelijkheid via een gewone http-verbinding liep, i.p.v. via een https-verbinding.
En ik ga toch werkelijk geen creditcard-gegevens verzenden via onbeveiligd http.
Bij telefonische navraag bij het G DATA ServiceCenter werd me verzekerd dat dit werkelijk een veilige verbinding zou betreffen.
Vrij merkwaardig, vond ik.
Maar goed, gelukkig werd ook netjes een andere mogelijkheid voor het vernieuwen van de licentie geboden, namelijk per e-mail, met betaling na toezending van een nota.
Vergiste het G DATA ServiceCenter zich, met die bewering over een beveiligde http-verbinding? (Zo ja, dat zou dan wel slordig zijn.)
Of bestaat er wérkelijk zoiets als een beveiligde http-verbinding?
Graag jullie inzichten en mening.
UPDATE
door Spiff,
als aanvulling op het bovenstaande:
Op 18-2-2009 heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.
G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."
Een keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
Prima, dat zat er inderdaad aan te komen.
Ik klikte "bestellen", om mijn licentie te vernieuwen, maar zag vervolgens dat de de "renew"-mogelijkheid via een gewone http-verbinding liep, i.p.v. via een https-verbinding.
En ik ga toch werkelijk geen creditcard-gegevens verzenden via onbeveiligd http.
Bij telefonische navraag bij het G DATA ServiceCenter werd me verzekerd dat dit werkelijk een veilige verbinding zou betreffen.
Vrij merkwaardig, vond ik.
Maar goed, gelukkig werd ook netjes een andere mogelijkheid voor het vernieuwen van de licentie geboden, namelijk per e-mail, met betaling na toezending van een nota.
Vergiste het G DATA ServiceCenter zich, met die bewering over een beveiligde http-verbinding? (Zo ja, dat zou dan wel slordig zijn.)
Of bestaat er wérkelijk zoiets als een beveiligde http-verbinding?
Graag jullie inzichten en mening.
UPDATE
door Spiff,
als aanvulling op het bovenstaande:
Op 18-2-2009 heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.
G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."
Een keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
Reacties (12)
06-02-2009, 21:33 door
[Account Verwijderd]
[Verwijderd]
Of de userinput moet worden gehashed, maar dan is het nog niet beveiligt, andere mogelijkheid is dat ze een iframe gebruiken gedeelte voor creditcard HTTPS en de rest HTTP
08-02-2009, 18:14 door
Spiff has left the building
aan Anoniem 7-2-09, 23:45
Het zag er uit als een standaardformulier via http, er was niets dat er op wees dat de creditcard-gegevens niet via onbeveiligd http verstuurd zouden worden.
Maar ik kan me vergissen.
Want de G DATA technici zullen toch vast niet zo slordig zijn gevoelige gegevens via een onbeveiligde http-verbinding te laten lopen?
Ik zal G DATA support binnenkort eens een mailtje sturen om te vragen wat ze nu precies bedoelden, met de verzekering per telefoon dat het een "veilige verbinding" zou betreffen.
Het zag er uit als een standaardformulier via http, er was niets dat er op wees dat de creditcard-gegevens niet via onbeveiligd http verstuurd zouden worden.
Maar ik kan me vergissen.
Want de G DATA technici zullen toch vast niet zo slordig zijn gevoelige gegevens via een onbeveiligde http-verbinding te laten lopen?
Ik zal G DATA support binnenkort eens een mailtje sturen om te vragen wat ze nu precies bedoelden, met de verzekering per telefoon dat het een "veilige verbinding" zou betreffen.
Om het zeker te weten zou je de broncode van de pagina moeten bekijken. Ik maak uit je posting op dat het invulformulier niet via https is verstuurd maar gewoon via http. Strikt genomen kan dat wel op deze manier - als de ingevulde resultaten maar veilig worden verstuurd. Als bijv. in het invulformulier staat: <form action="https://...."> dan betekent dat dat je ingevulde gegevens WEL via https verstuurd zullen gaan worden.
Als de sitemakers 't zo hebben gemaakt, is 't op z'n minst slordig. Technisch gezien wel ok, maar geeft niet veel vertrouwen.
Overigens, 't kan ook omgekeerd, wat veel erger zou zijn: je invulformulier wordt via https ontvangen, maar daar in staat <form action="http://..."> zodat de resultaten blanko worden verstuurd. Bij versturen zou je browser vermoedelijk gaan klagen (hoop ik althans) omdat je een beveiligde pagina verlaat.
Als de sitemakers 't zo hebben gemaakt, is 't op z'n minst slordig. Technisch gezien wel ok, maar geeft niet veel vertrouwen.
Overigens, 't kan ook omgekeerd, wat veel erger zou zijn: je invulformulier wordt via https ontvangen, maar daar in staat <form action="http://..."> zodat de resultaten blanko worden verstuurd. Bij versturen zou je browser vermoedelijk gaan klagen (hoop ik althans) omdat je een beveiligde pagina verlaat.
Ik neem aan dat de andere mogelijkheid, 'per e-mail', gaat om het ontvangen van een factuur en vervolgens via standaard internetbankieren betalen? Creditcardgegevens per e-mail versturen lijkt me namelijk niet echt wijs...
11-02-2009, 15:45 door
Spiff has left the building
aan Anoniem 11-2-09, 9:43
Hee, dankjewel.
Ik heb het net even gecheckt in de broncode:
De enige vermelding met form action is het volgende:
<form action="/portal/NL/renew/432/submit/" method="post">
De enige vermelding met https is het volgende:
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
Verder slechts http-aanduidingen.
Ik zal zo meteen G DATA eens om opheldering gaan vragen.
Hee, dankjewel.
Ik heb het net even gecheckt in de broncode:
De enige vermelding met form action is het volgende:
<form action="/portal/NL/renew/432/submit/" method="post">
De enige vermelding met https is het volgende:
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
Verder slechts http-aanduidingen.
Ik zal zo meteen G DATA eens om opheldering gaan vragen.
11-02-2009, 15:46 door
Spiff has left the building
aan Anoniem 11-2-09, 14:38
Ja hoor, wees gerust,
die andere mogelijkheid voor het vernieuwen van de licentie, per e-mail, met betaling na toezending van een nota,
dat betreft betaling na ontvangst van de nota, d.m.v. een bankoverschrijving.
Per e-mail werd slechts de transactie in gang gezet.
Creditcard-gegevens versturen per e-mail zou inderdaad bepaald niet wijs zijn.
Ja hoor, wees gerust,
die andere mogelijkheid voor het vernieuwen van de licentie, per e-mail, met betaling na toezending van een nota,
dat betreft betaling na ontvangst van de nota, d.m.v. een bankoverschrijving.
Per e-mail werd slechts de transactie in gang gezet.
Creditcard-gegevens versturen per e-mail zou inderdaad bepaald niet wijs zijn.
Ik kan in elk geval niets vreemds vaststellen: als je probeert een product te bestellen, kom je vanaf stap 2 ("Naar Kassa") in een https-omgeving.
11-02-2009, 19:19 door
Spiff has left the building
aan Anoniem 11-2-09, 17:04
Dat bestellen van een product, bedoelde je daarmee het bestellen via de G DATA site?
Ik bedoel iets heel anders, zoals ik ook schreef in mijn startbericht van dit topic:
Toen ik onlangs inlogde op m'n pc, kreeg ik een G DATA InternetSecurity pop-up, met de vermelding dat m'n licentie binenkort zou verlopen, en met het aanbod mijn licentie te vernieuwen.
Ik klikte vervolgens "bestellen", om mijn licentie te vernieuwen,
en kwam na een inlog-pagina op de checkout-pagina voor het verlengen van de licentie.
Deze checkout-pagina waar persoonlijke gegevens en creditcard-informatie ingevuld zouden moeten worden was/is een gewone http-pagina. Na klikken op "Submit" zouden de gegevens mijns inziens onbeveiligd verzonden worden, geen enkele aanleiding om te vermoeden dat eerst nog eens omgeschakeld zou worden naar een https-pagina, want dan zouden dáár de creditcard- en andere gegevens wel ingevuld moeten worden, niet eerst op een http-pagina.
Ik kan me voorstellen dat dat aanbieden van die verleng-optie via een onbeveiligde verbinding een fout was. G DATA is de laatste flink aan het sleutelen geweest aan de site (en nog steeds, als ik me niet vergis), dus het zou kunnen dat er iets niet helemaal liep zoals het zou moeten. Wat natuurlijk niet is hoe het hoort, maar wat kan gebeuren. Ik hoop dat het probleem dan inmiddels verholpen is.
Ik ben benieuwd naar de reactie van G DATA support op mijn mail van vanmiddag met mijn verzoek om uitleg.
Dat bestellen van een product, bedoelde je daarmee het bestellen via de G DATA site?
Ik bedoel iets heel anders, zoals ik ook schreef in mijn startbericht van dit topic:
Toen ik onlangs inlogde op m'n pc, kreeg ik een G DATA InternetSecurity pop-up, met de vermelding dat m'n licentie binenkort zou verlopen, en met het aanbod mijn licentie te vernieuwen.
Ik klikte vervolgens "bestellen", om mijn licentie te vernieuwen,
en kwam na een inlog-pagina op de checkout-pagina voor het verlengen van de licentie.
Deze checkout-pagina waar persoonlijke gegevens en creditcard-informatie ingevuld zouden moeten worden was/is een gewone http-pagina. Na klikken op "Submit" zouden de gegevens mijns inziens onbeveiligd verzonden worden, geen enkele aanleiding om te vermoeden dat eerst nog eens omgeschakeld zou worden naar een https-pagina, want dan zouden dáár de creditcard- en andere gegevens wel ingevuld moeten worden, niet eerst op een http-pagina.
Ik kan me voorstellen dat dat aanbieden van die verleng-optie via een onbeveiligde verbinding een fout was. G DATA is de laatste flink aan het sleutelen geweest aan de site (en nog steeds, als ik me niet vergis), dus het zou kunnen dat er iets niet helemaal liep zoals het zou moeten. Wat natuurlijk niet is hoe het hoort, maar wat kan gebeuren. Ik hoop dat het probleem dan inmiddels verholpen is.
Ik ben benieuwd naar de reactie van G DATA support op mijn mail van vanmiddag met mijn verzoek om uitleg.
18-02-2009, 17:11 door
Spiff has left the building
Als vervolg op het bovenstaande:
Vandaag heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.
G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."
Een bijzonder keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
Vandaag heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.
G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."
Een bijzonder keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
19-02-2009, 02:00 door
Paultje
Eerste regel: je moet NOOIT je financiële gegevens (creditcard gegevens) over HTTP sturen.
Tweede regel: maak liever gebruik van Ideal. Je logt dan in via je eigen bank. Voordeel: je hebt geen creditcard nodig.
Tweede regel: maak liever gebruik van Ideal. Je logt dan in via je eigen bank. Voordeel: je hebt geen creditcard nodig.
19-02-2009, 16:37 door
Spiff has left the building
Dankjewel, Paultje.
Goed advies voor iedereen.
Maar ik neem aan dat je uit het bovenstaande wel begrepen had dat ik die creditcard-gegevens nu juist ook per se niet via http wilde versturen? Het probleem was dat er een http-verbinding werd aangeboden in plaats van een https-verbinding. Mogelijk was de oorzaak daarvan een bug in de structuur van de G DATA website.
En verder, ja Ideal is leuk, maar die mogelijkheid werd me niet aangeboden op de pagina waarmee ik mijn licentie kon vernieuwen. Ook andere betaalmogelijkheden werden niet aangeboden, alleen creditcard, en dit alleen via http.
Blijkbaar was er iets helemaal niet goed gegaan met het doorlinken naar de juiste pagina.
Zoals ik al zei, ik hoop dat het probleem inmiddels is opgelost, of anders zo gauw mogelijk wordt opgelost door de G DATA technici.
Voor alle duidelijkheid nog eens:
buiten die betaalpagina om, via het G DATA ServiceCenter, werd me een andere, veilige betaalmogelijkheid geboden.
Dus dat komt goed.
Goed advies voor iedereen.
Maar ik neem aan dat je uit het bovenstaande wel begrepen had dat ik die creditcard-gegevens nu juist ook per se niet via http wilde versturen? Het probleem was dat er een http-verbinding werd aangeboden in plaats van een https-verbinding. Mogelijk was de oorzaak daarvan een bug in de structuur van de G DATA website.
En verder, ja Ideal is leuk, maar die mogelijkheid werd me niet aangeboden op de pagina waarmee ik mijn licentie kon vernieuwen. Ook andere betaalmogelijkheden werden niet aangeboden, alleen creditcard, en dit alleen via http.
Blijkbaar was er iets helemaal niet goed gegaan met het doorlinken naar de juiste pagina.
Zoals ik al zei, ik hoop dat het probleem inmiddels is opgelost, of anders zo gauw mogelijk wordt opgelost door de G DATA technici.
Voor alle duidelijkheid nog eens:
buiten die betaalpagina om, via het G DATA ServiceCenter, werd me een andere, veilige betaalmogelijkheid geboden.
Dus dat komt goed.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.