Door Anoniem: @Euro10000: Firefox heeft een masterwachtwoord. Is die niet net zo veilig als bv keepass of lastpass?
Een webbrowser is een proces waar heel wat add-ons in geïnstalleerd kunnen worden die allerlei zaken in dat proces aanpassen en waar voortdurend software (scripts) in uitgevoerd wordt die her en der van het web wordt geladen die ook van alles kunnen beïnvloeden. Kwaadaardige software kan makkelijker het proces aanvallen waarbinnen het al draait dan een ander proces dat een eigen adresruimte heeft. Ik heb daarom meer vertrouwen in een afzonderlijk proces op mijn systeem dat wachtwoorden beheert buiten de browser. Niet dat dat absolute bescherming geeft, maar om het aan te vallen moet wel een extra drempel genomen worden.
En noscript is te moeilijk volgens mij voor de doorsnee internetter.
Een perspectief met een hoog roepende-in-de-woestijn-gehalte waar ik toch achter sta: het is niet NoScript maar de website die het met NoScript niet doet die te moeilijk is voor de doorsnee-internetter.
Niet alles kan het blijven doen zonder scripts, maar de basisfuncties als navigeren tussen pagina's en het tonen van een redelijk intacte layout kunnen prima zonder JavaScript. Met JavaScript pas je namelijk dynamisch de website aan in de browser, en dit is simpelweg een kwestie van die aanpassingen doen op een werkende basis in plaats van op een basis die een compleet wrak is. Ze komen ermee weg omdat de meeste mensen bij een niet functionerende website zich altijd aan iets als NoScript zullen ergeren en nooit aan de website zelf. Ze denken dat NoScript de website kapot maakt, en snappen niet dat de website kapotte webpagina's aanlevert met scripts die de schade vervolgens in de browser herstellen. De doorsnee-mens heeft hier een heel eigenaardige blinde vlek die hem helaas heel gevoelig voor allerlei onveilge situaties maakt.
Een andere belemmering is dat veel websites geen subdomeinen gebruiken voor verschillende soorten inhoud. Waarom wordt bijvoorbeeld zo vaak statische inhoud voor bijvoorbeeld www.website.com niet van static.website.com maar van zoiets als website-static.com geladen? Door een subdomein te gebruiken kan een NoScript-gebruiker in één keer een domein inclusief subdomeinen activeren. Ik weet niet of dit bewust NoScript-pesten is, ik heb mensen meegemaakt die een sterke voorkeur voor nieuwe domeinnamen boven subdomeinen hadden die zich nauwelijks van het bestaan van NoScript bewust waren. Misschien voelen ze zich simpelweg belangrijker als ze meer domeinen gebruiken, alsof je je daarmee meer internet toeëigent of zo.
Dit levert trouwens een
tip op: klaag niet (of niet alleen) bij de makers van hulpmiddelen die veiligheid verhogen, zoals NoScript of een wachtwoordbeheerprogramma, als een website er niet lekker mee werkt, klaag (ook) bij de makers van de website, het ligt vaak ook aan de onhandige manier waarop die website is opgezet. Hoe meer bedrijven klachten daarover krijgen hoe meer ze zich bewust worden van de hulmiddelen waar hun bezoekers op vertrouwen, en op de lange termijn helpt dat hopelijk het web te verbeteren.
Dat het kan werken heb ik in het verleden gemerkt: ik heb in de tijd dat IE door 97% of zo van de Nederlanders gebruikt werd altijd vriendelijk geklaagd over websites van overheden en bedrijven die het alleen met IE deden, en ik heb verschillende keren meegemaakt dat sites van rijksoverheid tot multinationals als Philips het na een geschrokken reactie binnen een paar weken wel goed deden. En hoe groter de basis is van websites die wel werken hoe meer die hulpmiddelen toevoegen.
Door Anoniem:
- Nooit gebruikersnamen of wachtwoorden opslaan, maar altijd zelf intypen.
- Niet overal dezelfde gebruikersnaam en wachtwoord gebruiken.
Wat onmiddelijk leidt tot zwakke wachtwoorden, want wie weet dat allemaal te onthouden? Maar wat bedoel je met opslaan? Dat "wachtwoord onthouden"-vinkje op veel aanlogformulieren zou ik inderdaad niet aanbevelen, maar wachtwoorden opslaan met een goed wachtwoordbeheerprogramma als keepass/keepassx juist wel.
Door SecOff: ***BACKUP*** + ***BACKUP*** + ***BACKUP***
Ja, dat kan niet vaak genoeg gezegd worden, er wordt vaak vergeten dat ook dit beveiliging is. Het is letterlijk het beveiligen van je data tegen verlies door ongelukken en aanvallen. Niet tegen het in handen van anderen komen van kopieën van die data, daar neem je andere maatregelen voor, maar dit zorgt dat je verder kan omdat je zelf alles nog hebt.