En dan wachten op de eerste malware die deze addon misbruikt om je te redirecten naar een van de donkere krochten op het wereldwijde interwebnet...

Gelukkig heb jij er wel veel verstand van ;)

Zucht...
uiteindelijk is alles te kraken/misbruiken ja. maar achter je toetsenbordje op voorhand alle initiatieven afkraken heeft ook zooo vreeeselijk veel bijgedragen aan een veiliger wereld, dat het uiteindelijk vele malen positievere indruk achterlaat dan een goed initiatief op haar merites beoordelen.

Heb je er al naar gekeken? Bestudeerd? Beveiligingsproblemen gevonden, waarmee je een proof of concept kunt demonstreren, waarin aangetoond wordt dat het door jou aangegeven misbruik inderdaad kan en zal gaan gebeuren?

Vast niet.


Overigens: ik ben nu net door dit artikeltje erop gewezen dat het uberhaupt bestaat. ik denk dat ik maar eens op zoek ga ernaar en eens kijken of het zinnig/zinvol is.

Jammer dat www.google.nl de https optie dan weer net niet heeft.

https://www.google.com/ weer wel ^^

https://www.google.com/ wel

Dan volg je deze site waarschijnlijk niet, want Google heeft net deze dienst gelanceerd.
http://security.nl/artikel/33384/1/Google_versleutelt_zoekmachine_met_SSL.html

Beter is echter om onderstaande twee te gebruiken:
http://ixquick.nl/
https://ssl.scroogle.org/

Dat kan ook met iedere andere willekeurige website hoor.
Malware schrijvers gaan zich heus niet op website's met https richten.
Als 0,9% van de internetgebruikers deze addon al gaan installeren, dan is dat voor de malware-schrijvers
niet eens interresant genoeg, en dan is deze addon ook nog voor Firefox. En welke browser word het meest
gebruikt denk je? dus m.a.w. niet rendabel genoeg voor deze bad-boys.
Clickjacking is voor malware schrijvers veel interresanter.
http://www.online.nl/webwijzer/webnieuws/article/clickjacking-toegelicht/

HTTPS is een protocol om derden niet te laten meekijken, of om overheidsdiensten (een beetje) te kunnen omzeilen.

Verder mis ik een uitleg hoe jij of anderen dit willen bereiken, dus ligt je stelling eens toe.
Zomaar wat roepen kan iedereen.

Iemand had je een -1 gegeven, die heb ik teruggezet, want ik ben het volkomen met je eens (je had het wel toe kunnen lichten natuurlijk).

De reden is simpel: als je een gewone http URL (dus geen SSL/TLS) URL in je webbrowser zet (tikken, bookmark, link in e-mail, link in Google results, link op andere website, link in PDF/Word doc etc) zal jouw webbrowser via DNS het IP-adres behorende bij de hostname in de URL opvragen.

Als er op dat moment sprake is van een DNS-spoofing attack (kan gericht zijn op jouw IP-adres, jouw ISP, DNS servers "onderweg" of van de partij waarmee je verbinding maakt) kom je op een andere site uit dan bedoeld, zonder dat je dit ook maar ergens aan hoeft te zien. Dat geldt ook als er een MITM aanval "onderweg" (bijv. op je WiFi LAN) plaatsvindt (staat dan los van DNS, alhoewel DNS antwoorden dan natuurlijk ook naar de hand van de aanvaller gezet kunnen worden).

De Firefox plugin probeert vervolgens met de betreffende hostname een SSL/TLS verbinding op te zetten. De beste tactiek bezien vanuit de aanvaller is om geen equivalente https site te bouwen. De meeste gebruikers zullen dan denken (als ze al denken) dat het om de juiste site gaat, en er (evt. tijdelijk) geen https equivalent beschikbaar is.

Met SSL en/of TLS gaat al genoeg fout; het veiligst werk je door zelf "https://hostname/" eenmalig in te voeren, te dubbel-checken en vervolgens in een goed herkenbare bookmark (internet bladwijzer) op te slaan, en alleen die te gebruiken. Vervolgens natuurlijk, in elk geval de eerste keer, het certificaat grondig bestuderen, en in het geval van uiterst kritische sites dat certificaat ergens opslaan zodat je vergelijkinsmateriaal hebt mocht je een keer manipulatie vermoeden).

Mijn advies is om m.b.t. https verbindingen nooit gebruik te maken van links van derden of "slimmigheden" in je browser die je ergens anders naartoe sturen dan je vroeg!

(Zijn er soms een of meer van die uitermate anoying "meedenkers" van Microsoft naar de EFF overgestapt? Afhankelijk van hoeveel er zijn blijven zitten zou dat goed nieuws voor Microsoft gebruikers kunnen zijn ;)

Hoi, leg ons nou eens uit waarom een malware schrijver JUIST een HTTPS zou willen veranderen???? en dan ook nog via een addon van Firefox.

Jammer dat https Google nog geen IPv6 doet.

Je begrijpt me verkeerd, kennelijk heb ik het niet goed uitgelegd. Het gaat hier niet om malware schijvers maar om MITM aanvallen op http (doodsimpel) versus https (in de praktijk onmogelijk als de software bugvrij is, de certificaten in orde zijn, voldoende krachtige hash- en encryptie algoritmes worden gebruikt en de private key niet gestolen is).

Het doel van die addon voor Firefox is: als jij bijvoorbeeld naar http://login.live.com/ surft, dan zal die addon checken of httpS://login.live.com/ bestaat (in dit geval is dat zo), en zo ja, die pagina openen. Op het eerste gezicht is dat allemaal prima en dus goed bedoeld van EFF.

Echter:
(1) http://login.live.com/ had helemaal niet mogen bestaan. De reden is dat jij een gespoofde versie van die site niet van de echte kunt onderscheiden. Zodra jij jouw logon gegevens hebt ingevuld op zo'n nep-site zal er hoogstwaarschijnlijk een script van de aanvaller starten die namens jou op de echte live.com inlogt, je wachtwoord wijzigt, alle email adressen die er te vinden zijn "oogst" (d.w.z. deze zeer waarschijnlijk werkende e-mail adressen toevoegt aan hun globale database en/of verkoopt aan andere spammers) en begint te spammen - met jouw e-mail adres als afzender.
(2) Internetgebruikers moeten zelf leren om op sites waar ze op inloggen, en zeker die waar vertrouwelijke gegevens van anderen te vinden zijn (zoals e-mail adressen maar ook ontvangen inhoudelijk vertrouwelijke mails), meteen https te gebruiken.

Op het moment dat er een MITM aanval plaatsvindt maakt het geen barst uit of die Firefox plugin draait; immers de gebruiker ziet dan een pagina die 100% identiek is aan de echte http://login.live.com/. Als de plugin geinstalleerd is en deze naar https://login.live.com/ probeert te gaan, liegt de MITM aanvaller gewoon middels een foutmelding dat die site niet bestaat. M.a.w. mijn probleem met die plugin is dat deze een probleem probeert op te lossen waarvan de oorzaak elders ligt en daarmee een halfbakken oplossing biedt.

Het enige positieve ervan is dat gebruikers kunnen zien (als ze opletten en er op dat moment geen MITM aanval plaatsvindt, de kans op zo'n aanval is natuurlijk ook weer niet zo heel groot) dat ze op sommige sites ook meteen https i.p.v. http hadden kunnen gebruiken (nog een voorbeeld, alleen niet echt zinvol vanuit Firefox: http://www.update.microsoft.com versus httpS://www.update.microsoft.com). Als die gebruikers dan meteen hun bookmarks aanpassen hebben ze ook die plugin niet meer nodig; sterker, erop blijven vertrouwen dat als je http intikt, die plugin je wel naar https zal sturen, is gewoon stom.

In plaats van een halfbakken plugin te maken zou EFF regeringen ervan moeten overtuigen dat als ze iets tegen "de CyberWar" (hun woorden, ik bedoel er de internetcriminaliteit mee) willen ondernemen, bedrijven moeten verplichten om veilige aanmeldpagina's te maken en http versies daarvan te verbieden (dit is natuurlijk niet de oplossing voor alle problemen, maar het helpt wel).

Nee, lieve schat, zo werkt de plugin dus niet. Ik weet het, het security.nl artikel bracht het wel zo, maar dat betekent niet dat het ook daadwerkelijk zo is. Anders lees je eerst even verder?

https://www.eff.org/https-everywhere
https://secure.wikimedia.org/wikipedia/en/wiki/Strict_Transport_Security
https://www.eff.org/https-everywhere/rulesets
http://archives.seul.org/or/talk/May-2010/msg00293.html
http://archives.seul.org/or/talk/May-2010/threads.html#00293

Kijk een bosje links naar de achtergrondverhalen, dat maakt het helder :-)

Zo werkt het niet. De add-on werkt alleen op een vooraf gedefinieerd beperkt aantal websites. Bovendien zou in jouw geval de aanvaller nog steeds een vervalst en ondertekend SSL-certificaat nodig hebben voor login.live.com (die je niet zomaar krijgt [in een wereld zonder Comodo <maar dat is een ander verhaal>]).

Het doel van die addon voor Firefox is: als jij bijvoorbeeld naar http://login.live.com/ surft, dan zal die addon checken of httpS://login.live.com/ bestaat (in dit geval is dat zo), en zo ja, die pagina openen. Op het eerste gezicht is dat allemaal prima en dus goed bedoeld van EFF.

Echter:
(1) http://login.live.com/ had helemaal niet mogen bestaan. De reden is dat jij een gespoofde versie van die site niet van de echte kunt onderscheiden. Zodra jij jouw logon gegevens hebt ingevuld op zo'n nep-site zal er hoogstwaarschijnlijk een script van de aanvaller starten die namens jou op de echte live.com inlogt, je wachtwoord wijzigt, alle email adressen die er te vinden zijn "oogst" (d.w.z. deze zeer waarschijnlijk werkende e-mail adressen toevoegt aan hun globale database en/of verkoopt aan andere spammers) en begint te spammen - met jouw e-mail adres als afzender.

[/quote]
Ik begrijpt je verhaal wel, maar je kunt toch aan het slotje en certificaat controleren of het om de juiste site gaat.
Als dit niet klopt dan weet je toch dat het gaat om een malafide website, of gekaapte site.
Certificaten zijn er dacht ik toch niet voor niks.

Verder sla ik ook geen login + wachtwoorden op, dus niks aan de hand.

Maar waarom zou een "cracker" zich al die moeite doen? er zijn vele makkelijkere manieren om aan logingegevens
of andere data te komen. Tevens zijn er ook niet zo heel veel website's met HTTPS.

Als ik een "cracker" was, dan zou ik gewoon mp3 of andere andere bestanden besmetten via torrent.
Dit gaat vele malen sneller, en je hebt veel meer "slachtoffers", en gegevens op een manier die veel
makkelijker is.

Dus dat is wat ik in de eerste plaats al bedoelde. Waarom zoveel moeite doen als het ook makkelijker kan?
Want de crimineel wil graag iets doen, wat makkelijk is, en daar zo veel mogelijk uit slaan.

Trouwens de meeste banken beginnen ook gewoon met http, en zodra je gaat bankieren ga je naar een https
site toe. Dus moeten alle banken dan maar gelijk met https beginnen??

Ook hier is het certificaat naar mijn mening zeer belangrijk, en slotje natuurlijk.