Nieuws
image

Twitter stopt luistervinken met HTTPS

woensdag 24 augustus 2011, 12:36 door Redactie, 6 reacties

Microbloggingdienst Twitter heeft de beveiliging van accounts verbeterd door HTTPS standaard voor gebruikers in te schakelen. Vorig jaar verscheen er een Firefox plugin waarmee het kinderspel was om Twitter-accounts via open draadloze netwerken te kapen. Hoewel Twitter gebruikers wel via HTTPS laat inloggen, verloopt de rest van de sessie via HTTP, wat is af te luisteren. Aanvallers kunnen zo de sessie cookie van een ingelogde Twitteraar kapen en vervolgens als die gebruiker Tweets versturen, wat onder andere bij verschillende politici gebeurde.

Twitter bood gebruikers de optie om HTTPS voor de gehele sessie in te schakelen, maar dit stond standaard niet ingeschakeld. Dat gaat nu veranderen, hoewel de uitrol geleidelijk zal plaatsvinden.

"We adviseren het gebruik van HTTPS voor verbeterde veiligheid. We zijn begonnen met dit standaard voor sommige gebruikers in te schakelen", zo laat de microbloggingdienst in een tweet weten.

Reacties (6)
24-08-2011, 12:45 door eXpL0iT.be
Goede zaak in mijn ogen. Zou al langer en niet enkel op twitter de standaard moeten zijn.
24-08-2011, 13:43 door Anoniem
Het moet dan wel mogelijk zijn om als je via een link op een of andere site op twitter of facebook wil inloggen dat je dan ook https kan gebruiken.Want volgens mij kan dit nu alleen met http en dat vindt ik onveilig.En dus log ik in zo'n situatie niet in.
24-08-2011, 14:04 door Wim ten Brink
En nu moet security.nl eigenlijk ook overal HTTPS voor gaan gebruiken! :-)
Het login schermpje rechts-boven is dan wel gekoppeld aan een beveiligde pagina, maar deze pagina zelf is dat niet. Een hacker zou dus de normale pagina's kunnen hacken om dat inloggen van de site om te leiden naar een andere site en zo met een man-in-the-middle aanval wachtwoorden stelen van geregistreerde bezoekers.
Tel daarbij op dat nog steeds veel personen hun wachtwoord gebruiken voor tientallen sites denk ik dus dat ook security.nl zich eens moet bezinnen op hun beveiliging!
24-08-2011, 14:30 door Anoniem
Voor een systeem wat bedoeld is voor communicatie waarbij het bekend is dat er ook VIP's gebruik van maken had nooit uitgerold mogen worden zonder https.Misschien in flower-power tijd maar anno 2011 mag je ervan uit gaan dat als iets te misbruiken is, het al misbruikt wordt voor dat je er erg in hebt.

(unbreakable toys can be uses to break other toys)
24-08-2011, 14:45 door Anoniem
https://secure.security.nl/
24-08-2011, 14:57 door Anoniem
Door WorkshopAlex: En nu moet security.nl eigenlijk ook overal HTTPS voor gaan gebruiken! :-)
Het login schermpje rechts-boven is dan wel gekoppeld aan een beveiligde pagina, maar deze pagina zelf is dat niet. Een hacker zou dus de normale pagina's kunnen hacken om dat inloggen van de site om te leiden naar een andere site en zo met een man-in-the-middle aanval wachtwoorden stelen van geregistreerde bezoekers.
Tel daarbij op dat nog steeds veel personen hun wachtwoord gebruiken voor tientallen sites denk ik dus dat ook security.nl zich eens moet bezinnen op hun beveiliging!
https://secure.security.nl/artikel/38243/1/Twitter_stopt_luistervinken_met_HTTPS.html
;)
Alleen is het helaas dat als je op de HTTPS versie zit en je inlogt dat je dan weer naar de HTTP versie wordt gestuurd :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search