IE11 op Windows 7 en 8.1 uitgerust met HSTS-beveiliging
Internet Explorer 11 op Windows 7 en 8.1 zijn van een beveiligingsmaatregel voorzien die volgens Microsoft gebruikers tegen verschillende soorten man-in-the-middle-aanvallen moet beschermen. Het gaat om HTTP Strict Transport Security (HSTS), dat ook in Windows 10 aanwezig zal zijn.
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. Volgens Microsoft moet dit gebruikers tegen man-in-the-middle-aanvallen beschermen waarbij TLS uit de communicatie met een server wordt verwijderd, waardoor de gebruiker kwetsbaar is.
Update
Met de IE-update van deze maand (KB 3058515) beschikt IE11 nu ook over HSTS. Het is vervolgens aan websites om HSTS te implementeren. Iets dat ontwikkelaars kunnen doen door zich in te schrijven voor een "HSTS preloadlijst" die Microsoft Edge, Internet Explorer en andere browsers gebruiken, om zo het HTTP-verkeer naar HTTPS door te sturen. De lijst die Microsoft gebruikt is op de lijst van Chromium gebaseerd. Websites die niet op deze lijst staan kunnen HSTS via de Strict-Transport-Security HTTP header inschakelen.
Na een eerdere HTTPS-verbinding van de browser die de HSTS-header bevat, zullen alle volgende HTTP-verbindingen via HTTPS lopen. Microsoft merkt op dat gemengde content niet wordt ondersteund op servers die HSTS ondersteunen. Gemengde content, waarbij er bijvoorbeeld afbeeldingen en advertenties via HTTP op een HTTPS-site worden geladen, zullen altijd worden geblokkeerd. De gebruiker krijgt vervolgens via de informatiebalk een melding of hij de gemengede content wil laden.
Andere browsers zoals Firefox en Chromium hebben dit al jaren.
Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan.
(Bron quote: Browser vergelijkingstest Computer Totaal van dit jaar.)
Microsoft is zoals gewoonlijk weer de laatste, in Nederland zeggen we dan de "allerlaatste", om zo'n belangrijke maatregel te implementeren.
Het is niet erg er geen verstand van te hebben, maar stel dan vragen en ga geen totale onzin uitkramen.
Andere browsers zoals Firefox en Chromium hebben dit al jaren.
Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan.
(Bron quote: Browser vergelijkingstest Computer Totaal van dit jaar.)
Microsoft is zoals gewoonlijk weer de laatste, in Nederland zeggen we dan de "allerlaatste", om zo'n belangrijke maatregel te implementeren.
Het is niet erg er geen verstand van te hebben, maar stel dan vragen en ga geen totale onzin uitkramen.[/quote]
Maarja, het is nog steeds makkelijk te omzeilen, je hoeft alleen de hostname te veranderen d.m.v een MITM aanval. Het wordt dan wel moeilijker gemaakt, maar zo erg is het ook niet dat IE hier nu pas mee komt.
als je deze update installeerd werkt je iexplorer dus niet meer he.
als je bijvoorbeeld www.telegraaf.nl neemt zie je wel de mainpage
en als je een link ( nextpage wil ) werkt het niet
iexplorer crashd enorm, kan het alleen afsluiten met takenbeheer
ook andere sites werken niet, bij 2 of 3 tabbladen werkt explorer ook niet crash'd
als je deze Update weer verwijderd en windows herstart,
werkt iexplorer weer als van ouds.
leuk die security updates van MS maar zorg dan ook dat alles goed werkt.
als mensen problemen hebben met hun iexplorer verwijder dan deze
update kb3058515.
en alles werkt weer correct
greetzzzzzz
U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.
Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.
Public key pinning prevents man-in-the-middle attacks:
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
1/ het moeten vetrouwen van een voor jou onbekende instantie zonder verdere controle. Diginotar superfijn zijn de bekende voorbeelden waar het mis ging. Voor het totaalplaatje zouden alle onbekende faalt mit misbruik bekend moeten zijn.
2/ om webverkeer op malware etc te controleren wordt vrolijk beweerd dat décrypte daarvoor mogelijk gemaakt moet worden.
Andere browsers zoals Firefox en Chromium hebben dit al jaren.
Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan..[/quote]
En het is ook goed om het hele plaatje te schetsen: HSTS werkt pas als zowel de browser als de websites meewerken. En aangezien het aantal websites dat HSTS doet microscopisch klein was (en nog altijd zeer beperkt is), stond HSTS ondersteuning laag op het todo-lijstje voor IE.
Dus ja, Chrome en FF ondersteunen al lang HSTS, en dat is op zich mooi, maar de praktische waarde was uiterst beperkt.
U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.
Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.
Public key pinning prevents man-in-the-middle attacks:
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
Public Key Pinning kan al geruime tijd voor IE met behulp van EMET. Simpelweg installeren en de bekende websites (google, yahoo, etc) zijn al beschermd.
EMET is sowieso een goed idee om te installeren voor alle PC-gebruikers.
Andere browsers zoals Firefox en Chromium hebben dit al jaren.
Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan..
En het is ook goed om het hele plaatje te schetsen: HSTS werkt pas als zowel de browser als de websites meewerken. En aangezien het aantal websites dat HSTS doet microscopisch klein was (en nog altijd zeer beperkt is), stond HSTS ondersteuning laag op het todo-lijstje voor IE.
Dus ja, Chrome en FF ondersteunen al lang HSTS, en dat is op zich mooi, maar de praktische waarde was uiterst beperkt.[/quote]
Dat ziet u toch helemaal verkeerd.
Niet op alle sites is HSTS van levensbelang.
Dat er op op miljoenen game, klets etc. sites geen HSTS support is, zal de meeste gebruikers worst wezen.
Daar is het ook niet belangrijk.
Bij internetbankieren is het wel even anders, daar is het van het hoogste belang.
ALLE banken ondersteunen al jaren dit protocol. Maar Microsoft liet je mooi in de steek.
Het is een van de vele redenen waarom internet bankieren met IE werd afgeraden. (Zie de Wiki over MITM.)
Het is ook DE reden waarom MS daar nu wel mee komt. (Zie ook hier de Wiki over MITM.)
Als u een goed plaatje wilt schetsen moet u zich toch echt eerst beter op de hoogte stellen en niet met
FUD en aannames over Microsoft komen.
U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.
Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.
Public key pinning prevents man-in-the-middle attacks:
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
Public Key Pinning kan al geruime tijd voor IE met behulp van EMET. Simpelweg installeren en de bekende websites (google, yahoo, etc) zijn al beschermd.
EMET is sowieso een goed idee om te installeren voor alle PC-gebruikers.
Denk eens na.
Als EMET echt de problemen met IE zou oplossen waarom zou MS dan zo'n moeite doen om hun browser aan te passen?
Heeft u een linkje waar staat dat een aanval, waar dan ook, wat dan ook, werd afgeslagen of gemitigeerd door EMET?
Tot nu toe heeft EMET NIETS voorkomen, anders had MS dat wel rondgebazuind en standaard in Windows 10 ingebouwd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.