Nieuws
image

Firefox beschermt gebruikers tegen MiTM-aanvallen

dinsdag 28 juli 2009, 09:45 door Redactie, 6 reacties

Mozilla werkt aan een nieuwe optie in Firefox die moet voorkomen dat criminelen vertrouwelijke inloggegevens kunnen onderscheppen. Overal is het vandaag de dag mogelijk om te internetten, denk aan cafés, bibliotheken en vliegvelden. Dit soort open hot spots zijn interessant voor criminelen. Een aanvaller zou het netwerkverkeer via zijn eigen machine kunnen laten lopen, de zogeheten Man-in-the Middle aanval. Veel gebruikers letten bij het inloggen op hun online bankrekening niet op of dit via HTTP of HTTPS gebeurt

In sommige gevallen is de banksite alleen via HTTP benaderbaar en gebeurt het inloggen pas over HTTPS. En het geldt niet voor internetbankieren, ook het inloggen op de webmail en andere sites is voor velen een automatisme, wat de kans op een succesvolle MiTM-aanval doet toenemen. Mozilla wil daarom het gebruik van HTTPS forceren. Vorig jaar kwamen Collin Jackson en Adam Barth al met een oplossing voor dit probleem, genaamd "ForceHTTPS". Via de uitbreiding kunnen websites de browser dwingen om de site alleen via HTTPS op te vragen. De twee onderzoekers wilden zo het redirecten van HTTP naar HTTPS voorkomen, om de kans op een MiTM-aanval te verkleinen.

Goed idee
Het team van Mozilla vond ForceHTTPS zo'n goed idee, dat het nu aan een eigen prototype werkt. In eerste instantie gaat het nog om een add-on. In plaats van cookies, wil Mozilla dat sites een HTTP-header versturen om TLS te verplichten. "ForceTLS is voor meer dan alleen bescherming tegen kwaadaardige hotspots te gebruiken, het kan ook webapplicaties tegen ongewenste onversleutelde requests beschermen", zegt Sid Stamm, Mozilla's 'Securinator'. Firefox-gebruikers die het prototype willen testen kunnen die via Mozilla.org downloaden.

Reacties (6)
28-07-2009, 10:10 door Anoniem
Client side certificate ... iemand??? Dacht ik al, tja het kost wat geld, wat dan ook weer raar is want een cetificaat zou eigenlijk gratis moeten zijn, zoals het hele internet, maar dat is nu niet vrij meer, je moet overal voor betalen, en dan garanderen ze absoluut niet dat jouw informatie correct word beschermt.

Leuk hoor van Mozilla, dit wil ik absoluut eerst zien, dan geloof ik het pas.

Grt,
Rolf
28-07-2009, 10:43 door Anoniem
Natuurlijk is dit alleen symptoombestrijding. Een goed geconfigureerde website staat de verbinding niet via http toe als het om vertrouwelijke informatie gaat. Ook met de huidige stand van zaken kan een sysadmin dit op verschillende manieren al afdwingen, mits de te beschermen sessie binnen een duidelijk gedefinieerd domein werkt.
Bijv. Rabobank internetbankieren gaat via https://bankieren.rabobank.nl/ en op http://bankieren.rabobank.nl/ wordt geen verbinding geaccepteerd.
Bijv. Paypal gaat via https://www.paypal.com/ en accepteert wel een verbinding op http://www.paypal.com/, maar stuurt deze direct door naar https://www.paypal.com/
Het enige probleem met het laatste voorbeeld is dat een request op http://www.paypal.com/ wel geaccepteerd wordt en er dus clear text data verzonden kan worden. Paypal is dus afhankelijk van de partners om de juiste https:// url te gebruiken.
Als browsers in eerste instantie https:// zouden proberen en alleen als ze daarop geen response krijgen terugvallen naar http:// dan zou dit probleem al grotendeels opgelost zijn.
28-07-2009, 10:52 door Anoniem
Noscript laat ook al lang toe om websites te forceren naar HTTPS
http://blog.security4all.be/2008/10/use-noscript-to-force-websites-to-ssl.html
28-07-2009, 11:20 door Anoniem
De gemiddelde internetgebruiker weet amper dat HTTPS bestaat, laat staan dat ze er op letten wanneer dat nodig is.
Ik denk dat het een goede zet is van FF om deze optie aan te bieden, liefst standaard enabled. Met de toename van internet anywhere zijn er steeds meer potentiele slachtoffers die van beveiliging geen kaas hebben gegeten.
28-07-2009, 20:13 door Anoniem
In mijn beleving gaat dit niet werken. Bijvoorbeeld middels ssl stripping dan typed de gebruiker niet eens http in maar alleen de url zonder http. Al het verkeer wordt dan geproxied. Zodra de url veranderd in https wordt op het moment van verandering naar https de s eraf gehaald en blijft het verkeer tussen de server en sslstrip proxy https maar naar client http. Alleen als er bij default https in getikt wordt zal de MITM niet werken.

Ik vraag me af hoe dit in de browser afgevangen gaat worden. Als er default https wordt gebruikt krijgt de gebruiker alleen maar error meldingen.

Marco
29-07-2009, 09:10 door Anoniem
IPSEC? IPv6?

ik roep maar wat hoor, maar om nu eerst alles naar "secure" te maken door SSL te implementeren terwijl IPv6 op een lager niveau de boel al beveiligd (IPSEC) lijkt me een beetje zonde van de tijd...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search