Nieuws
image

Facebook HTTPS risico voor bedrijven

donderdag 10 februari 2011, 12:32 door Redactie, 8 reacties

Facebook-gebruikers kunnen sinds kort instellen dat ze hun gehele sessie via HTTPS willen laten lopen, maar dat kan een risico voor bedrijven zijn. De SSL-optie werd ingevoerd, omdat Facebook standaard gebruikers over HTTPS laat inloggen, maar de rest van de sessie via HTTP laat lopen. Wie via een open WiFi-netwerk inlogt, loopt daardoor het risico dat anderen het account kapen, bijvoorbeeld via de populaire Firefox plugin Firesheep. Dit overkwam onlangs verschillende Amerikaanse politici.

HTTPS beschermt hier tegen, maar maakt het ook onmogelijk om de inhoud van het netwerkverkeer op kwaadaardige inhoud te bekijken, zegt Mike Geide van Zscaler Research. "Dit is een potentieel zeer enge 'blinde vlek' binnen bedrijfsomgevingen." Ook in andere diensten zoals Gmail is deze blinde vlek aanwezig. Voor bedrijven die Facebook op hun netwerk toestaan, zijn er echter oplossingen die SSL-verkeer toch kunnen inspecteren.

Vinkje
Ook Facebook-gebruikers moeten opletten met het gebruik van HTTPS. Veel applicaties van derden werken niet over HTTPS, waardoor Facebook terug naar HTTP schakelt. Het doet dit echter ook voor alle volgende sessies, zonder gebruikers hierover te waarschuwen.

Reacties (8)
10-02-2011, 13:39 door sjonniev
Het scannen van https kan prima, zie bijvoorbeeld de web appliance van Sophos.
Het is dus niet onmogelijk om de inhoud van het netwerkverkeer op kwaadaardige inhoud te bekijken. Zoals in hetzelfde artikel een paar regels staat vermeld staat. Wat is het nu? Is er een verschil tussen inspecteren en bekijken?
10-02-2011, 14:26 door Anoniem
Hoe doen ze dat dan? Krijg je als client dan een SSL cert van de proxy, die vervolgens aan de andere kant een SSL verbinding met Facebook op zet (MitM)? Want als je SSL zo snel open kunt breken, dan is Facebook wel je minst erge probleem...
10-02-2011, 14:36 door Anoniem
Het hangt er vanaf hoe en waar de informatie gescand wordt. Gebeurt dat op jouw computer zelf, binnen de browser, dan kan het prima, ook met HTTPS. Maar HTTPS verkeer is versleuteld tussen de server en jouw browser, dus een scanner op de firewall kan jouw HTTPS Facebook pagina's niet scannen. Wat wel kan is kijken naar URLs. Men kan dus wel zien of je op Facebook bezig bent, of op naaktemeisjes.com. En als de scanner wat handiger is kan het binnen Facebook ook zien of je een (bekende) kwaadaardige/ongewenste app aan het gebruiken bent. (Men kan, bijvoorbeeld, Facebook in het algemeen niet blokkeren, maar Farmville wel.) Het is echter niet ideaal.
10-02-2011, 16:02 door Bitwiper
Door Redactie: HTTPS beschermt hier tegen, maar maakt het ook onmogelijk om de inhoud van het netwerkverkeer op kwaadaardige inhoud te bekijken, zegt Mike Geide van Zscaler Research.
Onjuist en in tegenspraak met:
Voor bedrijven die Facebook op hun netwerk toestaan, zijn er echter oplossingen die SSL-verkeer toch kunnen inspecteren.
Correct. Naast Sophos (zie de bijdrage van sjonniev) kan elke zich respecterende UTM (Unified Threat Module) appliance (zoals SonicWall, Astaro etc) https middels een MITM aanval openbreken en inhoudelijk scannen. Kaspersky AV software kan dat ook op je desktop (d.w.z. voordat het https verkeer je webbrowser bereikt).

Zie m'n bijdragen in http://www.security.nl/artikel/32871/1/SSL_niet_bestand_tegen_afluisteren_overheid.html en http://www.security.nl/artikel/34103/1/Controle_SSL_sessie.html waarin ik beschrijf hoe dit in z'n werk gaat (d.w.z. zonder dat het certificaat-foutmeldingen oplevert in de webbrowser).
10-02-2011, 21:47 door cyberpunk
Ook Facebook-gebruikers moeten opletten met het gebruik van HTTPS. Veel applicaties van derden werken niet over HTTPS, waardoor Facebook terug naar HTTP schakelt. Het doet dit echter ook voor alle volgende sessies, zonder gebruikers hierover te waarschuwen.

Ja, dat is balen... :-\
11-02-2011, 01:12 door Anoniem
als iemand zonodig zijn verkeer wil verbergen dat hij op kantoor genereerd dan is dat in een paar minuten te doen.

ik heb gewoon thuis een vpn server die op poort 80 luistert.
op kantoor start ik gewoon een verbinding naar mijn eigen vpn server op en voila.. al het verkeer dat het internet op gaat is encrypted... en voor de gemiddelde systeem beheerder is dit vrij lastig te ontdekken.

mochten ze er wel over klagen dan zeg je dat je veel je hotmail leest en dat wil afschermen voor nieuwsgierige sysads.
12-02-2011, 18:53 door Anoniem
volgens belgische wet mag je zelfs niet alle https traffic scannen, ik denk aan bvb bankverkeer
13-02-2011, 14:43 door cyberpunk
Door Anoniem: volgens belgische wet mag je zelfs niet alle https traffic scannen, ik denk aan bvb bankverkeer

Ik denk niet dat er in CAO nr.81 http://www.cao-81.be/cao81/home.htm iets staat over het niet mogen scannen van HTTPS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search