Nieuws
image

Microsoft verplicht SSL niet voor Hotmail

vrijdag 5 november 2010, 15:00 door Redactie, 14 reacties

Microsoft zal geen 'full-session SSL' voor Hotmail-gebruikers instellen, zo heeft het laten weten. Woensdag verscheen onderstaand overzicht, waaruit blijkt dat Hotmail kwetsbaar voor 'sidejacking-aanvallen' is. Met name gebruikers van onbeveiligde draadloze netwerken en publieke hotspots lopen daardoor het risico dat iemand tijdelijk hun account kaapt.

George Ou die het overzicht maakte, vroeg Microsoft om een reactie. De softwaregigant liet weten dat in november Hotmail-gebruikers 'full-session' SSL encryptie tijdens de gehele Hotmail sessie kunnen instellen, wat aanvallen door Firesheep en andere 'cookie-stealing exploits zou voorkomen.

Deze aanpassing zal echter niet standaard staan ingeschakeld. "Wat betekent dat de meeste gebruikers geen SSL zullen gebruiken. Hopelijk lossen ze wel standaard het cookie-diefstal probleem op, en overwegen ze de bijna niet bestaande overhead om SSL browsing voor alle Hotmail-gebruikers in te schakelen. Al het harde werk om de SSL sessie tijdens de initiële authenticatie fase op te zetten is al gedaan", aldus Ou.

Reacties (14)
05-11-2010, 15:41 door Rene V
De softwaregigant liet weten dat in november Hotmail-gebruikers 'full-session' SSL encryptie tijdens de gehele Hotmail sessie kunnen instellen

Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
05-11-2010, 16:06 door Anoniem
Door René V:
De softwaregigant liet weten dat in november Hotmail-gebruikers 'full-session' SSL encryptie tijdens de gehele Hotmail sessie kunnen instellen

Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
Het is nog geen december!
05-11-2010, 16:51 door Anoniem
open je hotmail open internet zet een s achter http (in de regel) druk vervolgens op enter en je word gevraagd welke optie je altijd zou willen gebruiken
05-11-2010, 17:34 door Erwtensoep
Door Anoniem: open je hotmail open internet zet een s achter http (in de regel) druk vervolgens op enter en je word gevraagd welke optie je altijd zou willen gebruiken
Dank voor je reactie, maar bij mij krijg ik dan dit:
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
05-11-2010, 17:38 door Anoniem
Door Erwtensoep:
Door Anoniem: open je hotmail open internet zet een s achter http (in de regel) druk vervolgens op enter en je word gevraagd welke optie je altijd zou willen gebruiken
Dank voor je reactie, maar bij mij krijg ik dan dit:
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."

ok helaas ik teste dit met mijn msn.com account
05-11-2010, 19:54 door Anoniem
Door Erwtensoep:
Door Anoniem: open je hotmail open internet zet een s achter http (in de regel) druk vervolgens op enter en je word gevraagd welke optie je altijd zou willen gebruiken
Dank voor je reactie, maar bij mij krijg ik dan dit:
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."

Ik krijg hier hetzelfde. Raar?
05-11-2010, 21:17 door Anoniem
Door Erwtensoep:
Door Anoniem: open je hotmail open internet zet een s achter http (in de regel) druk vervolgens op enter en je word gevraagd welke optie je altijd zou willen gebruiken
Dank voor je reactie, maar bij mij krijg ik dan dit:
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
Dat heb ik helaas ook...
06-11-2010, 06:25 door Rene V
Door Anoniem:
Door René V:
De softwaregigant liet weten dat in november Hotmail-gebruikers 'full-session' SSL encryptie tijdens de gehele Hotmail sessie kunnen instellen

Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
Het is nog geen december!

Lezen is ook een vak, hè? Er staat toch heel duidelijk november, en laat het nu net november zijn.

Wat ik heb gedaan is mail.live.com verplichten om HTTPS te gebruiken via NoScript. De addon Webmail Notifier werkt dan niet meer volautomatisch qua inloggen zodat ik direct in de inbox kom maar ik moet dan zelf inloggen en de vraag of ik automatisch https wil gebruiken steeds weer bevestigen en de pagina daarna geeft inderdaad de opmerking die Erwtensoep al aangaf wanneer ik de optie HTTPS automatisch gebruiken probeer te gebruiken. Dus kies ik dan maar voor niet automatisch gebruiken waarna ik dan op het inlogscherm kom. Maar goed, het is dan gewoon te gebruiken via een beveiligde verbinding. Beetje omslachtig, da's dan jammer, maar goed, het werkt in ieder geval.
06-11-2010, 07:24 door Anoniem
Als ik gewoon https://www.hotmail.com intyp, werkt het ook!
06-11-2010, 13:54 door waaromdan
Kunnen ze geen IP logboek voor hotmail invoeren? Zodat je kan nagaan wanneer en waar je hebt ingelogd.
06-11-2010, 14:48 door Rubbertje
Ik gebruik de Firefox plugin 'HTTPS-Everywhere' en die zet de SSL bij bijvoorbeeld Google en Hotmail automatisch aan.
08-11-2010, 14:42 door waaromdan
Door Bastos: Ik gebruik de Firefox plugin 'HTTPS-Everywhere' en die zet de SSL bij bijvoorbeeld Google en Hotmail automatisch aan.
Dit werkt niet bij Hotmail en het vertraagd ontzettend. Het is nog maar een Beta-versie met gebreken dus nog even wachten.
16-11-2010, 10:12 door Rubbertje
Door waaromdan:
Door Bastos: Ik gebruik de Firefox plugin 'HTTPS-Everywhere' en die zet de SSL bij bijvoorbeeld Google en Hotmail automatisch aan.
Dit werkt niet bij Hotmail en het vertraagd ontzettend. Het is nog maar een Beta-versie met gebreken dus nog even wachten.
Een Beta? Vertragen? Hmmm, ik weet niet waar jij de plug-in vandaan hebt gehaald...?
18-11-2010, 14:05 door waaromdan
Door Bastos: Een Beta? Vertragen? Hmmm, ik weet niet waar jij de plug-in vandaan hebt gehaald...?
Direct downloaden via Firefox add-ons kan niet, FF linkt je door naar de officiële website van HTTPS-Everywhere, welke vertelt dat het nog om een Bèta-versie gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search