https, user-awareness en duidelijker informatie in webbrowsers

Ik snap ze niet alle drie.
- https : Ik begrijp niet helemaal hoe https kan helpen in het tegen gaan van typosquatting.
- User-awareness : lijkt me duidelijk. 't Zou mooi zijn als mensen eerst kijken waar naartoe ze worden genavigeerd voordat ze op een link/plaatje klikken. (Alhoewel ik me afvraag hoe groot het percentage van de eindgebruikers is, die weten hoe/waar ze moeten kijken waar ze naartoe navigeren als ze op een plaatje klikken)
- Duidelijker informatie : Je zou webbrowsers wat duidelijker kunnen laten maken waar je naar toe navigeert. Maar uiteindelijk is het toch de gebruiker die de klik maakt. Hoe moet een browser diffrentieren tussen een valide en een minder/niet valide bestemming.

https heeft alleen toegevoegde waarde indien user-awareness aanwezig is. Duidelijke informatie? Dit is NIET de taak van de browser en moet het ook niet worden.

Typosquatters spelen handig in op non-user-awareness, haal die non weg, haal je de typosquatters weg. Er is geen technologie die dat kan voorkomen.

Belangrijk is wel dat ze alledrie tegelijk worden toegepast. Nb. met "authenticatie" bedoel ik hieronder niet uitsluitend de strikte match op domainname, maar ook dat die domainname geassocieerd moet worden met een specifieke organisatie.

(3) Webbrowsers zouden veel duidelijker dan nu de betrouwbaarheid van de authenticatie van een website moeten tonen (dus niet slechts onderscheid maken tussen EV en non-EV, zoals nu). Overwegen kan worden een standaard te maken voor digitale certificaten die specifiek zijn bedoeld voor internetbankieren en dit visueel duidelijk te maken. Speciale http headers zouden de webbrowser kunnen vertellen om wat voor soort website het, naar verluidt, gaat (zoals internetbankieren). Met name indien deze aanvullende informatie beschikbaar is, kunnen webbrowsers zelf, maar ook anti-malware software, gebruikers waarschuwen voor nepsites die inferieure certificaten gebruiken voor het kennelijke doel. Met webbrowsers gedistribueerde whitelists van domainnames van banksites zouden trouwens ook kunnen helpen.

Anders gezegd: alleen als een website middels headers meldt "dit is een website voor internetbankieren" en de website een bijpassend certificaat naar de browser stuurt dat is uitgegeven door een voldoende betrouwbare Certificate Service Provider (CSP), en de website aantoont daadwerkelijk te beschikken over de, bij de in het certificaat opgenonem public key horende private key, zal de webbrowser aan de gebruiker duidelijk maken dat het hier echt gaat om een website bedoeld voor internetbankieren.

(2) Gebruikers dienen te begrijpen dat een "domain validated" certificaat (uitsluitend verificatie via een e-mailtje) nauwelijks iets zegt over de authenticiteit van de website, en dat ze op een dergelijke site geen banktransacties moeten uitvoeren. Zoals bij (3) beschreven kunnen webbrowsers hier prima bij helpen. Maar ook zonder technische hulpjes moeten gebruikers beseffen dat de betere certificaten niet alleen een domainname aan een public key koppelen, maar ook dat die domainname van een specifieke organisatie gevestigd op een specifiek adres toebehoort. Vanzelfsprekend moeten certificaten voor legitieme websites dan ook wel op orde zijn (dat het digid.nl certificaat in het subject slechts "Logius" bevat, in plaats van "Rijksoverheid", vind ik ronduit stom).

(1) Om security-aware mensen toch over te halen hun bankzaken te regelen op een nepsite, zullen typosquatters beter gevalideerde certificaten moeten aanvragen. Vanzelfsprekend horen er geen CSP's te zijn die certificaten, aan onvoldoende geautoriseerden, uitgeven voor domeinen met namen als paypalco.uk en americanexpressco.uk.

Ik zeg niet dat we dit van de ene op de andere dag geregeld hebben, maar dit kan m.i. echt helpen om dit soort problemen te helpen aanpakken. Ongetwijfeld is dit plan (zeker in het begin) niet waterdicht. Als iemand een beter voorstel heeft, hoor ik het graag!

Tijd voor https://www.ErikvanStraten.nl ?

De domeinnaam is nog vrij.

Tja, waarom mag je een beschermde merknaam als Paypal of Americanexpress gebruiken als particulier in een domein naam ?


Wat moet die webbrowser dan vertellen ? Je browser weet niet dat je naar ''de verkeerde'' website gaat, in ieder geval zolang het niet gaat om een website die reeds bekend is bij toepassingen als Google Safebrowsing en dergelijke. Met user awareness is het ook de vraag of je veel bereikt, tikfouten zal je in ieder geval er niet meer voorkomen.

Zo: http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html

Typosquatters spelen er vooral op in dat je per ongeluk wel eens een typefout ("typo") maakt bij het intikken van de url.
Dus zoveel mogelijk gebruik maken van bookmarks, beperkt het risico dat zoiets jou overkomt.
(uiteraard wel éénmalig goed controleren op correctheid voordat je een url als bookmark toevoegt!)
Mvg, cluc-cluc