Nieuws
image

"Heel het internet moet over SSL"

vrijdag 12 augustus 2011, 15:44 door Redactie, 15 reacties

Ondanks kleine stappen gebruiken de meeste websites nog altijd geen SSL, waardoor gebruikers onnodig risico lopen. Het gebruik van SSL, bekend aan de gekleurde adresbalk en weergave van HTTPS, zorgt ervoor dat kwaadwillenden in principe de verbinding niet kunnen afluisteren. Vorig jaar verscheen de Firefox Firesheep plugin, die liet zien hoe gevaarlijk het is als websites de gehele sessie niet over HTTPS laten lopen. Ook al wordt er over HTTPS ingelogd, als alle volgende pagina's over het onversleutelde HTTP lopen, kan een aanvaller op bijvoorbeeld een open draadloos netwerk de sessie cookies stelen en zich vervolgens als het slachtoffer uitgeven.

Facebook en Twitter kwamen met een HTTPS-optie, maar die staat standaard niet ingeschakeld, tot groot ongenoegen van Julien Sobrier van beveiligingsbedrijf Zscaler. "De helft van de gebruikers begrijpt niet wat deze optie doet en de andere helft weet de nieuwe feature niet te vinden omdat die goed in hun profiel zit verstopt."

Daarnaast werkt de optie op Facebook niet naar behoren. De meeste applicaties op de grote sociale netwerksite ondersteunen geen SSL. Gebruikers krijgen dan wel een waarschuwing, maar moeten vervolgens eerst uitloggen en dan weer inloggen om HTTPS terug te krijgen. Vanwege deze moeite en compatibiliteit blijven veel gebruikers daarom over een onbeveiligde verbinding Facebook gebruiken.

Google
Het onlangs gelanceerde Google+ doet het volgens Sobrier een stuk beter, aangezien de website alleen over HTTPS werkt. Daardoor is het niet mogelijk om cookies van gebruikers onversleuteld te versturen. En ook de zoekmachine van Google is over HTTPS aan te roepen, in tegenstelling tot Microsoft Bing, dat alleen een onbeveiligde zoekmachine biedt.

Toch heeft ook Google nog het nodige te doen, gaat Sobrier verder. Zo zijn er tal van diensten nog niet over HTTPS beschikbaar, waaronder het grote advertentienetwerk Adsense.

Op mobiele platformen is de situatie nog veel erger, mede omdat het voor gebruikers niet zichtbaar is of gevoelige informatie over HTTP of HTTPS verstuurd wordt. "Hoewel sommige sites maatregelen hebben genomen om gebruikers te beschermen, is er nog veel te doen. HTTPS zou standaard ingeschakeld moeten zijn voor alle nieuwe websites waar gebruikers kunnen inloggen." Het gaat dan niet alleen om het inloggen, maar om alle requests die een cookie versturen.

Reacties (15)
12-08-2011, 16:10 door Anoniem
Ben het er helemaal mee eens.En het zou zelfs wettelijk verplicht moeten worden.
12-08-2011, 16:56 door meeuw
https://www.security.nl
Fout 118 (net::ERR_CONNECTION_TIMED_OUT): Er heeft een time-out voor de bewerking plaatsgevonden.

Pot? Ketel? Zwart?
12-08-2011, 17:33 door Anoniem
Door meeuw: https://www.security.nl
Fout 118 (net::ERR_CONNECTION_TIMED_OUT): Er heeft een time-out voor de bewerking plaatsgevonden.

Pot? Ketel? Zwart?
probeer https://secure.security.nl/ dan werkt het wel
12-08-2011, 17:42 door wizzkizz
Door Anoniem: Ben het er helemaal mee eens.En het zou zelfs wettelijk verplicht moeten worden.
Dan zal toch iedereen rap over moeten op IPv6. Elke SSL-enabled site moet namelijk een eigen IP-adres hebben (ook extra duur!), tenzij je kiest voor SSL-proxies ofzo. Maar of dat dan de oplossing is? Meerdere hostnames op het certificaat kan ook, maar is erg inflexibel voor de hoster.
12-08-2011, 17:52 door Anoniem
@wizzkizz Een ip per domeinnaam is niet nodig met Server Name Indication (SNI).
12-08-2011, 19:10 door Bitwiper
Door meeuw: https://www.security.nl
Fout 118 (net::ERR_CONNECTION_TIMED_OUT): Er heeft een time-out voor de bewerking plaatsgevonden.

Pot? Ketel? Zwart?
Uhh het kan wel (https://secure.security.nl/), maar is niet bugvrij:
- Er worden ads via http geladen (dat kun je natuurlijk blokkeren);
- Erg slordig: direct na inloggen word je naar de actuele pagina via http gestuurd.

Overigens worden, voor zover ik weet, je authenticatiegegevens wel via https verstuurd (ook als je via http inlogt), maar dat zie je niet en is dus niet secure (je kunt immers op een gespoofde site zitten, bijv. door een DNS aanval).

(2011-08-14 22:32 edit grammatica: wordt je --> word je)
13-08-2011, 10:07 door Anoniem
"Pot? Ketel? Zwart?"

Dit artikel geeft de mening weer van Julien Sobrier van ZScaler, en niet van de redactie van security.nl

Je reactie slaat werkelijk nergens op.
13-08-2011, 10:57 door Anoniem
Door wizzkizz:
Door Anoniem: Ben het er helemaal mee eens.En het zou zelfs wettelijk verplicht moeten worden.
Dan zal toch iedereen rap over moeten op IPv6. Elke SSL-enabled site moet namelijk een eigen IP-adres hebben (ook extra duur!), tenzij je kiest voor SSL-proxies ofzo. Maar of dat dan de oplossing is? Meerdere hostnames op het certificaat kan ook, maar is erg inflexibel voor de hoster.

http://en.wikipedia.org/wiki/Server_Name_Indication
13-08-2011, 11:03 door Anoniem
Door wizzkizz:
Door Anoniem: Ben het er helemaal mee eens.En het zou zelfs wettelijk verplicht moeten worden.
Dan zal toch iedereen rap over moeten op IPv6. Elke SSL-enabled site moet namelijk een eigen IP-adres hebben (ook extra duur!), tenzij je kiest voor SSL-proxies ofzo. Maar of dat dan de oplossing is? Meerdere hostnames op het certificaat kan ook, maar is erg inflexibel voor de hoster.
Onzin: al mijn web sites, ook mijn prive web sites hebben al jaren hetzelfde IP adres. Dat ip wordt soms wel gedeeld met anderen, dat klopt wel. En het kost hetzelfde... In Nederland bij vrijwel elke hoster van betekenis. Voor het certificaat moet je wel betalen.
13-08-2011, 11:11 door Anoniem
En dat laatste brengt me er weer eens toe webmasters aan te moedigen via een header rewrite er voor te zorgen om de reclame uitingen onder eigen naam, lees: zonder derden redirect, te tonen. Ik zou dan veel meer reclame zien ;-) Of beter: reclame zien. En er nog geeneens bezwaar tegen hebben. Problem is: de advertentiemafia wil maar al te graag hun naam herkenbaar in beeld hebben als ghostery of noscript weer eens wat ongewenste inmenging laat zien. Gelukkig ziet men dat steeds meer in al is het alles behalv e gemeen goed. Advertenties waarvan blijkt dat ze (al is het indirect) gehost worden door de primaire website, daar hebben zelfs advertentie haters nauwelijks bezwaar tegen. Immers: iedereen weet dat het web niet gratis kan zijn. Laten we hier maar eens een discussie over beginnen. Dit onderwerp wordt al veel te lang overal tegengehouden! Het maakt het internet ook veiliger.
13-08-2011, 11:19 door Anoniem
SSL zelf zit vol swakke plekken, om te beginnen dat al die resellers erg slordig met de keys omgaan.

Ps. Zscaler zelf doet ook niet aan SSL, en is dus ook gewoon een "Crying Wolf!" wannebeeeeee..
13-08-2011, 18:41 door Anoniem
De helft van de gebruikers begrijpt niet wat deze optie doet en de andere helft weet de nieuwe feature niet te vinden omdat die goed in hun profiel zit verstopt."

Zeg eehm, onderschat de macht van veel houders van domeinen ook niet.

Het MKB laat zich niet makkelijk uitleggen dat ze een (duur) ssl certificaat moeten kopen (en verlengen) wanneer ze met klantendata en inloggegevens aan de slag gaan. Eerst zijn ze verbaasd, nadat je in kloeke doch jip/janneke taal hebt uitgelegd hoe het werkt zeggen ze okay. Offerteer je, komt de aap uit de mouw: het kost immers centjes.

Dat ze zelf na mijn steekhoudende uitleg nietsvermoedend via een onversleutelde http verbinding hun mail checken, laat mij allang niet meer gillend wegrennen. Men is naief en neemt goed geinformeerd toch de verkeerde beslissingen. Het is jammer.
15-08-2011, 10:05 door Anoniem
Kom ik toch even opnieuw met mijn pleidooi voor een https standaard zonder cert authority. Een tussenvorm waarbij een niet-gesigneerd certificaat zonder 101 waarschuwingen toch geaccepteerd kan worden.

Motivatie: Als ik nu http gebruik, is dat per definitie voor het hele traject onveilig. Er is geen enkele vorm van versleuteling. Het browserverkeer kan op ieder moment door iedereen onderschept worden.

Ga je nu zo'n https-zonder-certificaatenbedrijf standaard invoeren en gebruiken, dan blijft inderdaad de mogelijkheid open dat je van begin af aan met de verkeerde server gaat communiceren, en inderdaad is het dus niet helemaal waterdicht. Aan de andere kant, heb ik eenmaal een verbinding gelegd met een server, dan kan daarna niemand zomaar meer zien wát er precies gecommuniceerd wordt met die server. En dat lijkt mij best een mooie middenweg. Niet zo veilig als gecertificeerd https, maar een stuk veiliger dan onversleuteld. En bereikbaarder, zeker ook voor de particulier die graag een leuke website opzet.
15-08-2011, 11:54 door Anoniem
begin af aan met de verkeerde server gaat communiceren

Je kan de fingerprint toch even conroleren ?
15-08-2011, 14:54 door Anoniem
1) wizzkizz schrijft: Een ip per domeinnaam is niet nodig met Server Name Indication (SNI).
Jammer dat niet alle browsers dit ondersteunen.

2) SSL (of TLS) betekend niet dat je veilig erens kunt shoppen. Enkel dat je niet afgeluisterd kunt worden en dat de URL overeenkomt met het afgegeven certificaat.

3) Uiteraard moet je dan _WEL_ de revocationlist controlleren, of OCSP gebruiken, iets wat standaard bij de meeste browsers _NIET_ aan staat. Het is dus heel goed mogelijk dat je een certificaat vertrouwd dat vijf jaar geleden OK was, maar dat drie jaar geleden al gecomprimiteerd is...

4) Zelfs al heeft een shop een geldig certificaat, als ze slordig met hun klanten gegevens (creditcardnr enzo) omspringen ben je nog steeds de sigaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search