Website maakt onversleutelde apps en sites te schande
Een programmeur die dit weekend tijdens de herinstallatie van Mac OS X schrok van het grote aantal apps dat onversleuteld verbinding over het internet maakt is een nieuwe website gestart waarbij hij allerlei apps en websites die HTTP gebruiken te schande maakt.
Software-ingenieur en zelfverklaarde "data-nerd" Tony Webster plaatste na de installatie van zijn computer een oproep op Twitter met de hashtag #httpshaming en kreeg allerlei inzendingen van apps en sites die het onversleutelde HTTP gebruiken voor het aanbieden van downloads of controleren op updates. Daardoor lopen internetgebruikers risico, aangezien aanvallers de informatie kunnen afluisteren, onderscheppen en manipuleren. Alle inzendingen die Webster ontving en zelf ontdekte plaatste hij op een Tumblr-blog genaamd HTTP Shaming.
Het gaat onder andere om KeePass, WinSCP, OpenVPN, Scribd, FileZilla, VLC en uiteindelijk ook Tumblr. Het blog van Yahoo blijkt namelijk geen SSL voor alle aangemaakte blogs te gebruiken. Via het initiatief hoopt Webster dat meer sites en apps uiteindelijk HTTPS gaan gebruiken. Hij vindt de actie dan ook niet gemeen voor ontwikkelaars. "Vijf jaar geleden had ik dat wel gevonden, maar de dreigingen zijn veranderd en elke redelijke ontwikkelaar of bedrijf moet weten dat encryptie een noodzaak is."
Op de http shaming blog staan diverse screenshots van een connectie melding met connectie informatie die Little Snitch geeft wanneer een programma connectie probeert te maken met internet.
Deze meldingen had hij ook kunnen zien zonder een herinstallatie van OS X.
Kennelijk was hij vergeten welke connectie toestemmingen hij ooit al aan Little Snitch had gegeven?
Had hij deze software dan zo geconfigureerd dat deze geen meldingen meer gaf?
De ingezonden meldingen betreffen overigens ook niet Mac programma's, WinSCP bijvoorbeeld.
Gerelateerd:
Brendan O'Connor
Stalking a City for Fun and Frivolity (https://www.youtube.com/watch?v=ubjuWqUE9wQ
Everything leakes too much data.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.