Op https://browsercheck.qualys.com/?scan_type=js kun je snel zien of de door jou gebruikte webbrowser en plugins kwetsbaar zijn.

Voor een meer uitgebreide scan moet je een plugin installeren, zie https://browsercheck.qualys.com/

Of jouw webbrowser verstandig met https (SSL/TLS) omgaat zie je hier: https://www.ssllabs.com/ssltest/viewMyClient.html

Jammer dat dit niet met alle webbrowsers werkt. De browser waarmee ik deze pagina bezocht kon hij helaas niet testen.

Dat is opmerkelijk, gezien de lijst met geteste browsers in https://www.ssllabs.com/ssltest/clients.html.

Aangezien je er niet bij vermeldt om welke browser het gaat vermoed ik dat je dat niet kwijt wilt (ik ben wel benieuwd natuurlijk).

Bedankt voor de lijst met geteste browsers.

Ik heb zojuist de pagina nog een keer bezocht en nu krijg ik wel resultaten voorgeschoteld :-).
Zouden ze hem vandaag toevallig toegevoegd hebben? Hij staat nog niet op de lijst met geteste browsers.

De browser waar ik het over heb is de op de Nintendo 3DS XL geïnstalleerde browser. (versie 1.7567)

Ik was best wel geïnteresseerd in de resultaten van juist deze browser aangezien ik denk dat deze browser toch best wel door een aantal gebruikt zal worden voor het surfen op het internet (waaronder ook jeugd).

Viel het resultaat mee?

Steeds meer devices (ook TV's) hebben een ingebouwde webbrowser waar mensen mogelijk steeds meer vertrouwelijke gegevens uitwisselen. Als notabene de stock Android browser in 75% van de Android smartphones op de markt al een een gapend Same Origin Policy lek blijkt te hebben (zie https://www.security.nl/posting/402257/Groot+privacylek+in+75%25+Android-toestellen+ontdekt) dan verwacht ik er niet veel goeds van.

Wat het beleid is om browsers (en andere clients zoals Java) toe te voegen aan de lijst weet ik niet.

De test is, bij mijn weten, totaal niet browser-afhankelijk. De sslabs software presenteert zich richting de browser als een reeks servers met verschillende instellingen en registreert hoe de browser zich gedraagt.

Dat zowel de client als de server supersecure kunnen zijn zegt niet zoveel als een man-in-the-middle een "downgrade attack" kan uitvoeren, door tijdens de handshake uitsluitend de slechts denkbare "tegenpartij" uit te wisselen (zie http://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-downgrade-attack).

Door de ssllabs client test zie je welke worst-case verbindingen jouw browser nog accepteert. Duidelijk is ook dat browsers snel verouderen als je ze niet up-to-date houdt (of kunt houden zoals MSIE8 op XP, zie https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP).

Het risico van oude browsers is dat servers oude en lekke protocollen blijven ondersteunen om geen klanten mis te lopen en/of helpdeskcalls te vermijden, en andersom, als browsers ook oude en lekke protocollen blijven ondersteunen, waarom zou je dan je server updaten?

Ook zie je welke soorten "mixed content" (http verkeer naast https) de browser accepteert. Zie http://blog.ivanristic.com/2014/03/https-mixed-content-still-the-easiest-way-to-break-ssl.html voor o.a. de risico's daarvan (Ivan Ristic, medewerker bij Qualys, is de geestelijk vader achter ssllabs en een expert op het gebied van SSL/TLS).

Een paar puntjes uit de resultaten

TLS 1.2 no
TLS 1.1 no
TLS 1.0 yes

SSL 3 Yes
SSL 2 no

Ik denk dat ik toch gewoon liever via een PC op websites inlog. (wel met een modernere browser en dus niet IE8)

Ik weet niet of je in de rest van de resultaten ook geïnteresseerd bent? Helaas is het niet mogelijk om te kopiëren en plakken aangezien ik de post op mijn PC schrijf en de resultaten op de Nintendo 3DS XL bekijk.

Door wie de browser van de Nintendo 3DS XL precies gemaakt is en wie hem bijhoudt is mij overigens niet echt duidelijk.


Hmm, misschien ging er dan iets anders fout waardoor de test niet uitgevoerd kon worden.


Bedankt wat leesvoer voor vanmiddag

Als ik overigens de resultaten van IE8 zie, dan denk ik dat ik dan juist weer liever met de Nintendo 3DS XL op een website zou inloggen als ik moest kiezen tussen die twee. Maar goed IE8 was als ik mij niet vergis de standaard browser van Windows 7 dus die is dan al zo'n 5 jaar oud.


Ik heb inmiddels de pagina gelezen. Interessant wat er geschreven staat. Ik las ook een stukje over HSTS. Ik ben nog altijd benieuwd of IE12 HSTS zal ondersteunen.