Nieuws
image

Facebook en Amazon negeren HTTPS

donderdag 25 november 2010, 10:03 door Redactie, 8 reacties

Ondanks alle commotie rond de Firefox-plugin Firesheep, gebruiken verschillende grote websites nog altijd geen HTTPS en brengen zo hun gebruikers onnodig in gevaar. "Sommige websites maken het erg moeilijk of zelfs onmogelijk om een beveiligde verbinding te gebruiken om hun sessies te beschermen. Het is precies een maand geleden dat Firesheep verscheen om het probleem van session side-jacking te demonstreren, maar deze websites willen nog steeds niets aan het probleem doen", zegt Julien Sobrier van Zscaler Research.

Het gaat onder andere om Amazon, de grootste webwinkel op het internet en Facebook, de grootste sociale netwerksite. "Het is erg triest om te zien dat sites zoals Facebook, die door een groot en divers publiek gebruikt worden, nog steeds erg onveilig zijn."

Reacties (8)
25-11-2010, 10:05 door Mysterio
Facebook is te druk met het claimen van Face en het aanklagen van andere sites om over dit soort trivialen na te denken. Awel, het is niet dat gebruikers wegblijven vanwege het zoveelste privacy issue van Facebook. Jammer genoeg...
25-11-2010, 10:05 door _Peterr
"Even 100% SSL aanzetten" is niet zo simpel als gezegd. Dat geeft nog al wat performaceproblemen met miljoenen gebruikers op Facebook. kan me best voorstellen dat facebook daar goed over nadenkt.
25-11-2010, 10:46 door Spiff has left the building
Erg onveilig?
Natuurlijk ligt het wat genuanceerder, zoals gewoonlijk.
http://research.zscaler.com/2010/11/ssl-sites-which-dont-want-to-protect.html
Over Amazon.com:
It is just not possible to use https://www.amazon.com/! This address redirect users to http://www.amazon.com/
To their credit, users must login again over HTTPS to make an order, but Amazon still provides plenty of information about their users: first name, last name, what they're interested in, full access to their shopping cart, etc.
25-11-2010, 11:11 door Anoniem
""Even 100% SSL aanzetten" is niet zo simpel als gezegd. Dat geeft nog al wat performaceproblemen met miljoenen gebruikers op Facebook. kan me best voorstellen dat facebook daar goed over nadenkt."

Er is wel nog een verschil tussen ''100% SSL aanzetten'', ervanuitgaande dat je daarmee de hele sessie bedoeld, en gebruik van HTTPS forceren bij het aanmelden op de website.
25-11-2010, 12:01 door Anoniem
Snap ik niet aangezien Facebook al wel SSL heeft lopen. Als ik naar Facebook.com ga krijg ik netjes https://www.facebook.com/ te zien. Komt waarschijnlijk door de HTTPS-Everywhere Firefox plugin, maar dan nog, hoeveel moeite kan het voor Facebook zijn om dit sitewide te activeren? Bang dat er servers door de knieën gaan vanwege de load?
25-11-2010, 14:45 door Anoniem
"Bang dat er servers door de knieën gaan vanwege de load?"

Jups.
25-11-2010, 23:13 door eMilt
Door Anoniem: Er is wel nog een verschil tussen ''100% SSL aanzetten'', ervanuitgaande dat je daarmee de hele sessie bedoeld, en gebruik van HTTPS forceren bij het aanmelden op de website.
Eh ja, facebook gebruikt uiteraard wel HTTPS voor de login maar het probleem is juist dat ze daarna weer naar HTTP switchen. Het wachtwoord is dus wel veilig maar de sessie cookie niet en dus kan je de sessie hijacken.

Ik snap overigens wel dat facebook niet zo maar switched naar HTTPS. Voor één website op één enkele server is het heel eenvoudig. Voor grote websites met meerdere datacenters wereldwijd, loadbalancers en CDN's is het heel complex.
30-11-2010, 11:04 door brol14
Mijn part mag Facebook van het toneel verdwijnen, wie daar zijn gegevens op plaatst speelt met vuur en zal vroeg of laat zijn eigen vingers aan verbranden !! Al veel computers mogen formatten ten gevolge van Facebook. Op Facebook zitten veel personen op met slechte bedoelingen en de meeste trappen er in. Wel leven de hackers op Facebook. Mijn er niet op gezien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search