Microsoft geeft meer details over HSTS-beveiliging in IE
Vorige maand werd bekend dat Microsoft eindelijk HTTP Strict Transport Security (HSTS) aan Internet Explorer gaat toevoegen, wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen. Nu heeft de softwaregigant meer details over de beveiligingsmaatregel gegeven.
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. HSTS biedt websites twee mogelijkheden om hun verbindingen met bezoekers te beveiligen.
De eerste optie is het registreren van de website op een lijst die door Internet Explorer en andere browsers wordt geladen, waarbij het HTTP-verkeer direct naar HTTPS wordt doorgezet. Hierbij maakt IE gebruik van de Chromium HSTS-lijst. Chromium is de opensourcebrowser waarop Google Chrome is gebaseerd. De tweede optie is het aanbieden van een HSTS-header. In dit geval zal de browser nadat die de website voor de eerste keer via HTTPS heeft bezocht, alle toekomstige HTTP-verbindingen via HTTPS laten lopen.
Microsoft waarschuwt dat HSTS twee belangrijke gevolgen voor gebruikers kan hebben. Als er namelijk een certificaatwaarschuwing verschijnt zal de gebruiker die niet kunnen negeren en moet hij de verbinding verbreken. Daarnaast wordt op HSTS-sites geen gemengde content ondersteund. Alle content moet via HTTPS worden aangeboden. Dit kan voor websites een probleem zijn waar bijvoorbeeld advertenties en afbeeldingen over HTTP worden geladen. De HSTS-feature is nu al in de Windows 10 Technical Preview te testen en zal later ook aan de Project Spartan-browser van het nieuwe besturingssysteem worden toegevoegd.
De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
The HSTS policy protects against variants of man-in-the-middle attacks that can strip TLS out of communications with a server, leaving the user vulnerable.
De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
Hoe snel kun je jezelf tegenspreken: "Het beschermt je niet, maar het probeert je wel te beschermen..."
Op zich een goede opmerking dat HSTS zelf je niet beschermt, maar dat geldt natuurlijk voor de meeste technieken. Die moeten het moeilijker maken een MITM aanval uit te kunnen voeren.
De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
De bovenste zin uit het artikel klopt niet. Zoals verder in het artikel wordt gezegd, HSTS is bedoeld om een gebruiker altijd de HTTPS versie van een website te laten gebruiken als deze beschikbaar is. HSTS zelf beschermt je niet tegen MITM. Met HTTPS wordt je data geencrypt aan de begin van de lijn en aan het einde van de lijn wordt deze gedecrypt, hiermee wordt geprobeerd je te beschermen tegen MITM.
Hoe snel kun je jezelf tegenspreken: "Het beschermt je niet, maar het probeert je wel te beschermen..."
Op zich een goede opmerking dat HSTS zelf je niet beschermt, maar dat geldt natuurlijk voor de meeste technieken. Die moeten het moeilijker maken een MITM aanval uit te kunnen voeren.
Lees aub nog een keer wat er staat. Ik geef aan dat HTTPS door middel van encryption PROBEERT(geen verzekering) te voorkomen dat derden je data kunnen meelezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.