HTTPS wil alleen zeggen dat er een secure verbinding is en de verzonden gegevens beschermt zijn.

Ik ken de site niet, maar als de betalingspagina https is is dat voldoende.

Dat de rest van de site niet https is hoeft op zich geen probleem te zijn.

Volgens de faq is het een beveiligde omgeving, dus ik neem aan dat dat ook https is.

Ja. Hoewel er bij mijn weten geen wet is die voorschrijft dat gevoelige gegevens uitsluitend in https pagina's ingevoerd mogen worden, zou zo'n wet wel moeten bestaan wat mij betreft.

Ik weet niet of er recentelijk iets aan veranderd is, maar in april vorig jaar bevatte het PCI (Payment Card Industry) reglement -helaas- nog geen eis voor https tijdens het invoeren van creditcardgegevens (zie mijn bijdrage van 08-04-2011 18:19 in http://www.security.nl/artikel/36753/vliegwinkel.nl_onbeveiligd%3F.html).

In elk geval Thuiswinkel Waarborg schrijft dit wel voor (zie http://www.thuiswinkel.org/cms/showpage.aspx?id=2944), maar helaas houden niet alle leden zich hieraan, en Kroon Casino is zo te zien helemaal geen lid (dat geeft al te denken).

De reden om dat te eisen is heel simpel: alleen met https heb je, primair, een redelijke zekerheid dat je jouw gegevens uitsluitend met de site, waarvan de hostname in de URL balk van je browser te zien is, uitwisselt (anders zijn er allerlei man-in-the-middle aanvalscenario's mogelijk, vooral als je via WiFi surft). Secundair is die verbinding dan ook nog eens versleuteld waardoor derden niet mee kunnen kijken.

Persoonlijk zou ik geen "zaken" doen met Kroon Casino. Een site die in http://www.krooncasino.com/online-casino/veiligheid/ claimt: en je, los van betalingen, je inloggegevens in een via http getoonde pagina laat invoeren, snapt niets van beveiliging of liegt er ordinair over. Je kunt je afvragen wat er nog meer niet klopt (dit wist ik bijv. niet: "De Lotteries and Gaming Authority of Malta is de strengste keuringsinstantie waar het online gaming betreft").

Gewoon onjuist.

Kort antwoord: Indien je HTTP ziet staan en je moet gegevens invullen dan is dit een plaintext postrequest wat iedereen kan lezen. Dus geen https, geen creditcard gegevens invullen.

Hmmm....zowel Ideal als CreditCard..?
Wellicht beter te stoppen met gokken?

groet van een bezorgde forumbezoeker

En wat kost het nou om de hele site onder HTTPS te zetten... je hebt toch ook nog je login en dergelijke gegevens erop staan?

Kosten noch moeite.... Hmm...

"Maar het is toch zo ? als de site een https protocol heeft is de kans toch zeer klein dat dit een "valse" zgn copie site is ?"

Hoezo dat, https wil alleen zeggen dat de website encryptie gebruikt. Dat is om te voorkomen dat derden de informatie met betrekking tot bijvoorbeeld je betaling kunnen onderscheppen. Een "kopie" website kan net zo goed encryptie gebruiken. Waarschijnlijk zal je aan de certificaatgegevens kunnen zien dat er wat mis is, maar ik vraag me af of je die kritisch gaat bekijken ? ;)

Nee, essentieel is dat het ook zegt met welke website je verbinding hebt. Pas daarna is het belangrijk dat de verbinding versleuteld is; een versleutelde verbinding met een criminele website biedt je geen enkel voordeel (integendeel, mocht justitie mee willen kijken dan kunnen ze dat niet eens ;) maar ook een virusscanner die netwerkverkeer checkt kan dat niet bij een versleutelde verbinding - je loopt dus meer risico).

Het web is één van de mogelijkheden om zaken te doen met een bepaalde organisatie. Voordat je zaken doet met welke organisatie dan ook is het verstandig om de volgende stappen te doorlopen:

1. Is de organisatie betrouwbaar?
Zijn ze ingeschreven bij de KvK, beroepsorganisaties en/of welke keurmerken hebben ze? Wat levert googlen op aan informatie? Wat gebeurt er met jouw geld als ze failliet gaan? Op welke manieren kun je met ze communiceren (zijn er fysieke en bestaande adresgegevens of alleen een postbus op de Bahama's, een antwoordapparaat en standaard reply mailtjes)? In welk land zijn ze geregistreerd? Als er sprake is van servers, in welk land staan die en wat zijn daar de eventuele (juridische) consequenties van?

2. Heb je de juiste adresgegevens?
Als je zeker wilt weten dat je met de betreffende organisatie communiceert, en niet met een partij die zich voordoet als, moet je over de juiste adresgegevens beschikken. Dit geldt niet alleen voor URL's, maar ook voor "gewone" adresgegevens (plaatsnaam etc.), e-mail adressen en telefoonnummers. Dit kan een stuk lastiger zijn dan het lijkt, vooral als je een organisatie via googlen hebt gevonden. Het is een bekende truc van criminelen om zich voor te doen als, bijvoorbeeld door middels trucs hoger in Google zoekresultaten getoond te worden dan de originele site.

3. Adresgegevens bij web access: wat is de correcte URL?
Bij web "winkels" is de URL essentieel, let ook goed op het TLD (Top Level Domain): is het .nl, .com, .eu etc? Veel domain registrars nemen het niet zo nauw en geven maar al te gemakkelijk misleidende namen uit (zie bijv. http://www.ingbank.tv/).

In dit specifieke geval: http://www.krooncasino.nl/ draait met IP-adres 217.168.170.37 op een server op Malta (de adresreeks 217.168.170.32 - 217.168.170.47 is toegekend aan "Casino Claro"). Op dit moment stuurt genoemde server je automatisch door naar http://www.krooncasino.com/ die op servers in de USA draait met IP-adressen 208.94.146.70, 208.94.146.81, 208.94.146.71, 208.94.146.80 (opvallend is dat Kroon Casino notabene gebruikers uit de USA weigert).

Zorg dat je de exacte URL te weten komt en maak daar een favoriet (ook bekend als snelkoppeling of bookmark) voor aan, en gebruik altijd die (en zeker niet een URL die je in een e-mail ontvangt). Als een https variant bestaat, gebruik die dan altijd (en neem die ook op in je bookmark). Belangrijk: sommige sites sturen je automatisch door naar de https URL als je er via http naar toe gaat. Vertrouw daar niet op. Als je een keer een man-in-the-middle aanval meemaakt, zal die overgang van http naar https niet plaatsvinden in jouw webbrowser (maar op de PC van de man-in-the-middle); de kans is groot dat het ontbreken van die overgang je niet opvalt!

Helaas, https://www.krooncasino.nl/ levert na wachten een timeout op, en https://www.krooncasino.com/ vertelt me: Forbidden You don't have permission to access / on this server.

4. Bij https: check de hostname en het slotje!
Als je zeker weet dat je via een https URL naar een site gegaan bent, check dan de volgende zaken direct nadat de eerste pagina getoond wordt:
- Is de hostame (het deel tussen https:// en de eerstvolgende / ) nog de bedoelde?
- Controleer daarna of het slotje zichtbaar is (zonder rode schuine strepen of andere waarschuwingen).
- Idealiter controleer je ook het certificaat, maar veel mensen vinden dat erg lastig.
Met deze basischecks (ook zonder het certificaat te controleren) heb je al een heel behoorlijke zekerheid dat je communiceert met de bedoelde organisatie en dat de verbinding versleuteld is (zodanig dat deze niet kan worden afgeluisterd en/of worden gekaapt). Foutmeldingen moet je niet negeren; bij websites die goed worden onderhouden horen deze niet voor te komen!

Nb. maar deze laatste stappen (bij punt 4) zeggen natuurlijk helemaal niets over de beveiliging van de website zelf, hoe (versleuteld of niet), waar (ergens in de "cloud"?) en hoe lang jouw gegevens worden opgeslagen, wie daar allemaal bij kunnen, noch over de betrouwbaarheid van de beheerders van de site, de door hun gebruikte software en de betrouwbaarheid van de organisatie achter de site.

Met die casino sites zou ik sowiso maar al een beetje opletten.

ELKE webpagina waar je persoonlijke gegevens invult dient https te zijn.

als dit namelijk niet zo is dan gaan je persoonlijke gegevens leesbaar voor anderen over de lijn... dus zonder encryptie.
iemand zou dus met een simpel netwerk analyse programma deze gevens kunnen afluisteren.

het casino lult dus uit zijn nek.

Casino's in NL zijn illegaal, behalve die ene die gestolen geld aanneemt van Subaru medewerkers.

Als je regelmatig geld overmaakt naar een casino is je probleem groter dan alleen het ontbreken van HTTPS. Waarom maak je geld over naar een bedrijf dat je graag leegzuigt voor meer dan je hebt? Ga sparen of beleggen, daar is de kans dat je je geld terug ziet behoorlijk wat groter!

Nou... niet met beleggen hoor. Als je net ze snel van je geld af wil als met gokken, moet je gaan beleggen.

"En wat kost het nou om de hele site onder HTTPS te zetten... je hebt toch ook nog je login en dergelijke gegevens erop staan?"

Met welk doel ?