image

Juridische vraag: Is een browserwaarschuwing voor websites zonder https aan te merken als smaad?

woensdag 22 maart 2017, 15:22 door Arnoud Engelfriet, 17 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Op Security.NL las ik dat het bedrijf Oil and Gas International had geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. De website biedt gebruikers namelijk een inlogveld via http aan en sinds kort waarschuwt Firefox hiervoor. Zou een claim wegens smaad hier kans maken?

Antwoord: Recent heeft Mozilla, de organisatie achter browser Firefox, actie genomen om website-eigenaren te stimuleren om beveiligde verbindingen (https) te gebruiken voor het insturen van informatie. Dit zou de veiligheid op het web moeten verhogen.

Sites als deze wisten daar waarschijnlijk niet van en zijn dus onaangenaam verrast als browsers ineens "Connection is Not Secure" en "Logins entered on this page could be compromised" zeggen tegen bezoekers. Maar zou je dat smaad kunnen noemen?

De wet (art. 261 Strafrecht) definieert smaad als volgt:

Hij die opzettelijk iemands eer of goede naam aanrandt, door telastlegging van een bepaald feit, met het kennelijke doel om daaraan ruchtbaarheid te geven, wordt, als schuldig aan smaad, gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie.

...

Noch smaad, noch smaadschrift bestaat voor zover de dader heeft gehandeld tot noodzakelijke verdediging, of te goeder trouw heeft kunnen aannemen dat het te last gelegde waar was en dat het algemeen belang de telastlegging eiste.

Mozilla bazuint dus rond in het openbaar dat een website onveilig is, en baseert dat op het feit dat bepaalde formulieren onveilig worden verstuurd. Je kunt je afvragen in hoeverre dat als wáár te bestempelen is. Het is niet echt een feitelijke analyse, maar meer een mening over hoe veiligheid op het web te verhogen. Die mening is natuurlijk wel breed gedragen, dus in die zin zou je hem 'waar' kunnen noemen.

Minstens zo belangrijk is dat het algemeen belang de telastlegging eiste. Het is niet zo dat de waarheid dus nóóit smaad kan zijn. Een waar maar zeer genânt oud triviaal feitje rondbazuinen kan dus smaad opleveren, omdat er dan geen of te weinig algemeen belang is bij het vertellen. Smaad is een belangenafweging, geen binaire waar/onwaar kwestie.

Veiligheid op het web is een onderwerp van algemeen belang, die stelling durf ik wel aan. En dat formulieren beveiligd moeten zijn, die zie ik ook nog wel. Dus om dan als browser mensen hier op te attenderen, dat lijkt mij dan in het algemeen belang.

De tekst waarmee ze dat doen, is redelijk neutraal. Hoewel ik bij "Logins entered on this page could be compromised" dan wel een beetje dubbel gevoel krijgt: hoezo 'could', waar hangt dat dan van af? Een naïeve lezer zou dit kunnen opvatten als slechts een kleine slag om de arm in plaats van een "het is in theorie mogelijk". Maar afgezien daarvan zie ik geen probleem met wat Mozilla doet.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
22-03-2017, 16:58 door Briolet
Hoewel ik bij "Logins entered on this page could be compromised" dan wel een beetje dubbel gevoel krijgt: hoezo 'could', waar hangt dat dan van af?

Dat hangt er misschien vanaf of er geen andere codering van het wachtwoord gebruikt wordt?

Deze browsers kijken alleen naar de verbinding en niet hoe de inlog gebeurd. Ik ken forums waar je via http inlogt, maar het wachtwoord aan de cliënt zijde versleuteld wordt, dan met de session ID gesalt en weer versleuteld wordt, waarna de ontstane hash verstuurd wordt. Bij een beetje goede versleuteling heeft een aanvaller niets aan de onderschepte hash en is de inlog toch nog redelijk veilig. In elk geval veilig genoeg voor een forum.

Als je de JS code van de "Oil and Gas International" site bekijkt, wordt daar het WW wel in plaintekst verzonden.
22-03-2017, 17:53 door Anoniem
De tekst waarmee ze dat doen, is redelijk neutraal. Hoewel ik bij "Logins entered on this page could be compromised" dan wel een beetje dubbel gevoel krijgt: hoezo 'could', waar hangt dat dan van af?
Dat hangt eenvoudig er vanaf of één of meerdere personen opzettelijk of toevallig zit(ten) mee te gluren
ergens op de netwerklijn tussen je computer en de netwerkserver waarmee je communiceert.

Http is een leesbare netwerkverbinding die loopt van het lokale netwerk van de gebruiker via delen van internet en internetknooppunten naar de internetserver. Vooral als je op een bedrijfsnetwerk of een netwerk van school of via een openbaar wifipunt werkt, kan iemand die er een beetje verstand van heeft het http-verkeer van anderen meelezen,
en dus ook inloggegevens stelen en daarna eventueel misbruiken.
Maar ook op het grote internet kan meelezen niet 100% worden uitgesloten.
Denk bijv. aan surveillance dienst van een overheid, of wie er ook maar toegang hebben tot grote internetknooppunten.
In geval van "Man in the Middle" (= iemand heeft het netwerk onderbroken (simpel: "knip!") en is er tussenin gaan zitten)
is het zelfs mogelijk om de communicatie te wijzigen of bijv. tussendoor eventjes malware op te halen. e.d.

De browsergebruiker wordt er in hele korte bewoordingen op gewezen.
Het doel is een bewustwording met het doel internet (of liever gezegd: "onze" communicatie op internet, want men zal vast niet de enige zijn die van die server gebrukt maakt) veiliger te maken.
22-03-2017, 20:02 door Anoniem
Geen juridische benadering, maar een ethische.

Als je voor een ander gevaar oplevert, dan mag die ander worden gewaarschuwd. Of het gevaar leidt tot een daadwerkelijk ongeluk, dat is slechts achteraf te bepalen (soms zelfs lang nadat het gevaar voor een betrokkene onstaat). Zo doen we dat in het verkeer ook (maar dan wettelijk geregeld). Een auto zonder kreukelzone komt in het nieuws en wordt ook verboden.
Zie voor de auto die niet zou deugen: http://www.autoweek.nl/nieuws/veiligheid-landwind-dramatisch/
Zie voor de auto die is aangepast zou zijn: http://www.luchtvaartnieuws.nl/nieuws/categorie/72/algemeen/chinese-terreinwagen-landwind-wordt-aangepast-video
Ze hebben zich dus verbeterd. Klanten van sites die vermeend onveilig laten inloggen, die kunnen de kans grijpen voor verbeteren. Veilig is pas veilig als mensen de veiligheid ook kunnen herkennen.

Onbeveiligde inlog op websites zie ik inmiddels als een vorm van internetvervuiling.
22-03-2017, 22:43 door Anoniem
https is een beladen onderwerp. Wiens certificaat ?

http kan best veilig zijn. Inloggen, op wat voor website en met welk doel ? Moet elke onbenullige website nu aan de https ? Wie is ... Mozilla ?
23-03-2017, 10:20 door Anoniem
Dat hele "wij gaan de wereld wel even verbeteren en dat dwingen wij af via onze browser" gedoe is totaal ongewenst.
Of het juridisch aangepakt kan worden valt echter te betwijfelen.

Het probleem is niet alleen dat men alles van http naar https probeert te dwingen (Google doet dat overigens actiever
dan Mozilla), wat voor veel doeleinden totaal niet gewenst is, maar wat ook heel vervelend is is dat men puur theoretische
mogelijkheden om misschien misschien misschien eens een certificaatje te vervalsen aangrijpt om support voor "oude"
technieken in https uit te schakelen.
"dan moet je gewoon even een nieuw certificaat volgens de laatste eisen installeren". Zo niet dan krijgen je bezoekers
een pagina met een hoop technisch gereutel en komen de site niet in.

Echter wat deze brave jongens vergeten zijn is dat er massa's devices zijn die https gebruiken voor een configuratie
pagina en waar helemaal geen updates meer voor uitkomen. Gevolg is dat je die met de nieuwste browsers helemaal
niet meer kunt bereiken. Men maakt daarmee een boel stuk en/of dwingt de mensen hun browser niet meer te updaten.
23-03-2017, 10:38 door marcod
Speelt hier de wens van de gebruiker nog mee? Theoretisch is het zo dat een gebruiker juist voor FireFox kiest vanwege deze nuttige feature. Die gebruiker wil juist graag voor dit soort situaties worden gewaarschuwd. Dan is het raar dat Oil and Gas International kan afdwingen dat dit niet meer gebeurt, toch?
23-03-2017, 11:36 door Anoniem
De homepage www.nu.nl heeft ook geen HTTPS.
23-03-2017, 12:08 door Erik van Straten
22 maart 2017, 15:22 door Arnoud Engelfriet: Mozilla bazuint dus rond in het openbaar dat een website onveilig is, en baseert dat op het feit dat bepaalde formulieren onveilig worden verstuurd. Je kunt je afvragen in hoeverre dat als wáár te bestempelen is. Het is niet echt een feitelijke analyse, maar meer een mening over hoe veiligheid op het web te verhogen. Die mening is natuurlijk wel breed gedragen, dus in die zin zou je hem 'waar' kunnen noemen.
Het is geen mening maar een feit dat het criminelen, alleen al in Brazilië, al meerdere keren (2012: [1]; 2014: [2], 2016:[3]) DNS instellingen op grote aantallen thuisrouters hebben aangepast met als doel surfers naar nepsites te sturen. Het lijkt mij ook een feit dat het zinvol is om ervoor gewaarschuwd te worden dat, als je gevraagd wordt om vertrouwelijke gegevens prijs te geven, je bij een http verbinding geen enkele zekerheid hebt dat jouw browser een verbinding heeft met de bedoelde website en niemand onderweg kan meekijken en/of gegevens wijzigen/verwijderen/toevoegen.

Waarom https:
1) authenticatie van de server (dit wordt bijna altijd vergeten)
2) beveiliging van de verbinding met de geauthenticeerde server
Versleuteling is zinloos als je niet weet wie er aan de andere kant van de lijn zit (en de sleutel heeft).

Toegegeven, ook via https heb je geen 100% garantie dat je verbinding hebt met de juiste site, maar dit is iets dat je als gebruiker in veel gevallen zelf kunt controleren (klopt de domainname in de URL balk, en eventueel welk type certificaat zie ik normaal gesproken en wat zie ik nu). Om die reden is het erg zinvol dat kritische sites EV certificaten gebruiken (en los daarvan, HSTS aanzetten). Er bestaat ook een kansje dat criminelen certificaten verkrijgen voor domainnames die niet van hen zijn, maar dat gebeurt nou ook weer niet elke dag (dat is lastig, vooral bij EV- en bijv. bij de Nerdelandse PKI Overheid certificaten).

Nb. niet voor niets roep ik daarom al heel lang dat DV certificaten (waaronder LetsEncrypt) speelgoedcertificaten zijn: het feit dat jij er goedkoop en met minimale checks aan kunt komen, betekent dat dit ook geldt voor personen die jouw site spoofen. Beveiliging kost geld; deal with it.

22-03-2017, 16:58 door Briolet: Ik ken forums waar je via http inlogt, maar het wachtwoord aan de cliënt zijde versleuteld wordt, dan met de session ID gesalt en weer versleuteld wordt, waarna de ontstane hash verstuurd wordt. Bij een beetje goede versleuteling heeft een aanvaller niets aan de onderschepte hash en is de inlog toch nog redelijk veilig. In elk geval veilig genoeg voor een forum.
Nee, dat is totaal niet veilig.

De code voor het versleutelen van het wachtwoord wordt namelijk verzonden door de legitieme server. Bij een MiTM zal de aanvaller jou helemaal geen versleutelcode sturen. Zij zal jou een identieke pagina laten zien waar je jouw gegevens op invult, maar zal vervolgens jouw naam en wachtwoord plain-text verzenden (en meelezen) zonder dat jij dit doorhebt.

22-03-2017, 22:43 door Anoniem: https is een beladen onderwerp. Wiens certificaat ?
Neem een EV certificaat om twijfel bij bezoekers zoveel mogelijk te voorkomen.

22-03-2017, 22:43 door Anoniem: http kan best veilig zijn. Inloggen, op wat voor website en met welk doel ?
Personen en instanties die (met name via public WiFi, maar ook via gemanipuleerde DNS gegevens) toegang hebben tot jouw verbinding verkrijgen, kunnen:
- jouw browsehistorie verzamelen en op basis daarvan jou in diskrediet brengen en/o anders benadelen (zie [4], bij de juiste windrichting waaien deze ideeën vroeger of later ook over naar Europa - voor zover dit al niet stiekem gebeurt)
- getoonde informatie vervalsen waardoor jij onjuist geïnformeerd wordt en/of uitgelokt wordt om handelingen te verrichten
- advertenties invoegen (er zijn ISP's die menen dat het legaal is om dit te doen)
- malware invoegen
- Aanvallen zoals XSS en CSRF uitvoeren op sites (en thuisrouters) die daar kwetsbaar voor zijn en daarmee jouw logingegevens op andere sites verzamelen en/of in jouw naam handelingen laten uitvoeren

22-03-2017, 22:43 door Anoniem: Moet elke onbenullige website nu aan de https ?
Wat mij betreft wel, om bovenstaande redenen

22-03-2017, 22:43 door Anoniem: Wie is ... Mozilla ?
Een browserleverancier waarbij gebruikers ervoor kiezen om hun product(en) te gebruiken

23-03-2017, 10:20 door Anoniem: Dat hele "wij gaan de wereld wel even verbeteren en dat dwingen wij af via onze browser" gedoe is totaal ongewenst.
Dat is niet zo, dat is iets dat jij vindt, op basis van op z'n minst discutabele argumenten:

23-03-2017, 10:20 door Anoniem: maar wat ook heel vervelend is is dat men puur theoretische mogelijkheden om misschien misschien misschien eens een certificaatje te vervalsen aangrijpt om support voor "oude" technieken in https uit te schakelen.
Mensen gebruiken webbrowsers ook voor belangrijker zaken dan jouw flutsite en willen gewaarschuwd worden als er mogelijk een MITM aanval plaatsvindt. Sneu dat jouw business case er niet in voorziet om jouw site veilig te houden, maar in elk geval Google, Mozilla en ik vinden dat geen reden om te stoppen met het verbeteren van beveiliging van de rest van het Internet.

23-03-2017, 10:20 door Anoniem: Echter wat deze brave jongens vergeten zijn is dat er massa's devices zijn die https gebruiken voor een configuratie pagina en waar helemaal geen updates meer voor uitkomen. Gevolg is dat je die met de nieuwste browsers helemaal niet meer kunt bereiken. Men maakt daarmee een boel stuk en/of dwingt de mensen hun browser niet meer te updaten.
Als jouw leverancier geen updates levert heb je de de verkeerde leverancier gekozen of betaal je te weinig. Zie mijn vorige punt.

[1] https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/
[2] http://www.pcworld.com/article/2602040/attack-hijacks-dns-settings-on-home-routers-in-brazil.html
[3] http://www.welivesecurity.com/2016/10/21/cybercriminals-target-brazilian-routers-default-credentials/
[4] https://tweakers.net/nieuws/122583/amerikaanse-internetproviders-willen-browsegeschiedenis-kunnen-verkopen.html
23-03-2017, 14:59 door Anoniem
Ben het eens met Erik,

Net als het gebruik van vervoermiddelen
- als je op eigen terrein blijft (daar waar een ander er geen hinder van kunnen ondervinden) dan staat het je vrij met alles en nog wat rond te toeren. Er hoeven geen beveiligingsmaatregelen op dat voertuig te zitten. Je hoeft geen vaardigheidsbewijs te hebben (weten hoe je je moet gedragen).
- als je op de openbare weg komt, dan kunnen anderen last kunnen hebben van onvoldoende veiligheid en/of vaardigheid. Daarom is er inmiddels wetgeving voor gekomen.

Nu in de IT wereld.
- Als je op je een eigen website hebt voor eigen gebruik die niet op de 'openbare IT weg' komt. ga dan vooral je gang.
- Als je jouw diensten ter beschikking stelt aan anderen (de bedoeling dat anderen jouw content leest, jouw diensten afneemt, etc), zorg dan voor voldoende beveiliging. (Eigenlijk helemaal) Niet om jou te beschermen, maar om de ontvanger te beschermen.

Het gaat niet alleen om 'verkeersregels', maar zeker ook om 'hygiene maatregelen'. Als jij geen hygiene maatregelen neem, dan kan een bewust bekwame slechterik daarvan gebruik maken om weer anderen te benadelen (bedrog, fraude, onwaarheden, besmetting, etc). De belangrijkste reden dat de zwarte pest zo veel doden opleverde was het feit dat men zich onvoldoende wasten, in de goot poepten en daarmee besmetting via water en voedsel verspreiden.
23-03-2017, 15:30 door Anoniem
23-03-2017, 10:20 door Anoniem: maar wat ook heel vervelend is is dat men puur theoretische mogelijkheden om misschien misschien misschien eens een certificaatje te vervalsen aangrijpt om support voor "oude" technieken in https uit te schakelen.
Mensen gebruiken webbrowsers ook voor belangrijker zaken dan jouw flutsite en willen gewaarschuwd worden als er mogelijk een MITM aanval plaatsvindt. Sneu dat jouw business case er niet in voorziet om jouw site veilig te houden, maar in elk geval Google, Mozilla en ik vinden dat geen reden om te stoppen met het verbeteren van beveiliging van de rest van het Internet.
Dus jij bent van mening, dat elke website https moet hebben? Dus iemand die voor hobby een website opzet, waar mensen b.v. kunnen lezen, hoe ze een functie binnen Word moeten gebruiken, moet daarvoor het geld uitgeven voor een duur certificaat? Want ja,
Nb. niet voor niets roep ik daarom al heel lang dat DV certificaten (waaronder LetsEncrypt) speelgoedcertificaten zijn: het feit dat jij er goedkoop en met minimale checks aan kunt komen, betekent dat dit ook geldt voor personen die jouw site spoofen. Beveiliging kost geld; deal with it.
en
23-03-2017, 10:20 door Anoniem: Dat hele "wij gaan de wereld wel even verbeteren en dat dwingen wij af via onze browser" gedoe is totaal ongewenst.
Dat is niet zo, dat is iets dat jij vindt, op basis van op z'n minst discutabele argumenten:
Jij bent uiteindelijk god-almachtig.
We leven in een vrije wereld, mensen hebben recht op hun eigen mening. Mensen hebben het recht om dingen te publiceren, iedereen is wel verantwoordelijk voor eenieders veiligheid.

Maar dan komen we op een ander punt, want met die mooie https oplossing komen we niet af van kwaadaardige advertenties, die op sites worden geplaatst. Daar hebben we adblockers voor. (Oja, volgens Der Spiegel zijn die ook onrechtmatig en er zijn sites die hun informatie blokken, omdat ze wel het geld willen hebben van advertenties, maar niet kunnen/willen zorgen voor veilige, dus last hebben van mensen met adblockers).
23-03-2017, 15:46 door Anoniem
Door Anoniem: De homepage www.nu.nl heeft ook geen HTTPS.
Daar kan je niet op inloggen sweety...
Maar men zou als een MITM wel aan bijv. fishing kunnen doen, en men kan je een stukje nepnieuws of malware toesturen.
MITM (Man-In-The -Middle) lukt met draadje doorknippen en er tussen gaan zitten maar kan ook door routers aan te vallen
en de instelling voor DNS te manipuleren. Ze kunnen dan simpel elke DNS aanvraag voor een server die je wilt bezoeken een keertje naar hun malware server laten verwijzen, zodat je een heerlijk partijtje malware krijgt geservereerd en nog veel meer kunnen ze je voor de gek mee houden als jij http gebruikt. Als jij echter https gebruikt en het certificaat voldoende controleert (en de volgende keren dat je die server bezoekt laat controleren door je browser met "certificate pinning") en je router veilig instelt door ondermeer geen standaard wachtwoorden te gebruiken en een betrouwbare DNS-server te gebruiken, dan geef je zulke oplichters vrijwel geen kans van slagen.
23-03-2017, 16:40 door Anoniem
Door Anoniem: Ben het eens met Erik,

- Als je op je een eigen website hebt voor eigen gebruik die niet op de 'openbare IT weg' komt. ga dan vooral je gang.

Maar zo werkt het dus niet! Op een gegeven moment kun je je eigen router of switch niet meer in omdat je browser
zeikt over "weak DH key" of "no matching encryption algorithm" terwijl er niemand anders bij die spullen kan en het
niet de taak van de browser bouwer is om de fabrikant van die spullen te dwingen om steeds maar software updates
te leveren om mee te hollen met de beveiligingswaanzin, en al helemaal niet om de koper te beleren in hoeveel hij
moet spenderen aan zijn apparatuur om dit probleem niet te hebben (zoals Erik graag doet).

En dit alles wordt nog waanzinniger in de situatie dat die hele encryptie en certificaat validatie maar een schakeltje
is in een lange ketting waar nog vele andere schakels in zitten die kunnen breken, zoals de uitgevers van de certificaten
en de dataverwerking in de site zelf. Het steeds maar hameren op de veiligheid van https is wat dat betreft onzin,
want de meeste datalekken vinden niet daar plaats maar in de site zelf.
23-03-2017, 18:56 door Anoniem
Door Anoniem:
Door Anoniem: Ben het eens met Erik,

- Als je op je een eigen website hebt voor eigen gebruik die niet op de 'openbare IT weg' komt. ga dan vooral je gang.

Maar zo werkt het dus niet! Op een gegeven moment kun je je eigen router of switch niet meer in omdat je browser
zeikt over "weak DH key" of "no matching encryption algorithm" terwijl er niemand anders bij die spullen kan en het
niet de taak van de browser bouwer is om de fabrikant van die spullen te dwingen om steeds maar software updates
te leveren om mee te hollen met de beveiligingswaanzin, en al helemaal niet om de koper te beleren in hoeveel hij
moet spenderen aan zijn apparatuur om dit probleem niet te hebben (zoals Erik graag doet).

En dit alles wordt nog waanzinniger in de situatie dat die hele encryptie en certificaat validatie maar een schakeltje
is in een lange ketting waar nog vele andere schakels in zitten die kunnen breken, zoals de uitgevers van de certificaten
en de dataverwerking in de site zelf. Het steeds maar hameren op de veiligheid van https is wat dat betreft onzin,
want de meeste datalekken vinden niet daar plaats maar in de site zelf.

De browser waarschuwt alleen maar. Als jij meent dat het geen kwaad kan in een bepaalde situatie zal de browser normaal doorgaan. Je hebt in zoverre gelijk dat https alleen nog niet voldoende is, maar wel het veiligheidsniveau ophoogt.
Maar je klinkt een beetje als: "Laat die airbags toch uit de auto man! Ze zijn reteduur, en je kan nog op zoveel andere manieren doodgaan."
23-03-2017, 22:53 door Anoniem
'De browser waarschuwt alleen maar. Als jij meent dat het geen kwaad kan in een bepaalde situatie zal de browser normaal doorgaan. Je hebt in zoverre gelijk dat https alleen nog niet voldoende is, maar wel het veiligheidsniveau ophoogt.
Maar je klinkt een beetje als: "Laat die airbags toch uit de auto man! Ze zijn reteduur, en je kan nog op zoveel andere manieren doodgaan."

Ik heb Firefox wel eens geprobeerd. Kan verdomd lastig zijn om zo'n waarschuwing te overrulen. En de leek ? Hoeveel mensen is dat niet te technisch, en worden er bang van ?

Sinds wanneer is het internet veilig ? Laat mensen liever hun brein gebruiken i.p.v. software.

Wat is ook al weer Mozilla's verdienmodel ?
24-03-2017, 07:45 door Anoniem
Door Anoniem:
23-03-2017, 10:20 door Anoniem: maar wat ook heel vervelend is is dat men puur theoretische mogelijkheden om misschien misschien misschien eens een certificaatje te vervalsen aangrijpt om support voor "oude" technieken in https uit te schakelen.
Mensen gebruiken webbrowsers ook voor belangrijker zaken dan jouw flutsite en willen gewaarschuwd worden als er mogelijk een MITM aanval plaatsvindt. Sneu dat jouw business case er niet in voorziet om jouw site veilig te houden, maar in elk geval Google, Mozilla en ik vinden dat geen reden om te stoppen met het verbeteren van beveiliging van de rest van het Internet.
Dus jij bent van mening, dat elke website https moet hebben? Dus iemand die voor hobby een website opzet, waar mensen b.v. kunnen lezen, hoe ze een functie binnen Word moeten gebruiken, moet daarvoor het geld uitgeven voor een duur certificaat? Want ja,


Nb. niet voor niets roep ik daarom al heel lang dat DV certificaten (waaronder LetsEncrypt) speelgoedcertificaten zijn: het feit dat jij er goedkoop en met minimale checks aan kunt komen, betekent dat dit ook geldt voor personen die jouw site spoofen. Beveiliging kost geld; deal with it.
en
23-03-2017, 10:20 door Anoniem: Dat hele "wij gaan de wereld wel even verbeteren en dat dwingen wij af via onze browser" gedoe is totaal ongewenst.
Dat is niet zo, dat is iets dat jij vindt, op basis van op z'n minst discutabele argumenten:
Jij bent uiteindelijk god-almachtig.
We leven in een vrije wereld, mensen hebben recht op hun eigen mening. Mensen hebben het recht om dingen te publiceren, iedereen is wel verantwoordelijk voor eenieders veiligheid.

Maar dan komen we op een ander punt, want met die mooie https oplossing komen we niet af van kwaadaardige advertenties, die op sites worden geplaatst. Daar hebben we adblockers voor. (Oja, volgens Der Spiegel zijn die ook onrechtmatig en er zijn sites die hun informatie blokken, omdat ze wel het geld willen hebben van advertenties, maar niet kunnen/willen zorgen voor veilige, dus last hebben van mensen met adblockers).

Ala je er zo weinig van weet dat je beweert dat door gebruik van een dienst als letsencrypt certificaten makkelijk vervalst kunnen worden, heb dan respect voor jouw eigen gebrek van kennis en meng je niet nutteloos in een discussie. De helft van de argumentatie raakt uiteindelijk kant nog wal
26-03-2017, 16:59 door Anoniem
Als alle communicatie binnen je eigen veilige omgeving blijft (los van internet) kan je best met http werken.
Desnoods download je daar een oudere versie browser voor om de http-waarschuwingen te vermijden.
Alle uitgebrachte Firefox versies zijn vanaf internet beschikbaar. (kan je van Google Chrome browser niet zeggen)

Maar met communicatie via internet ben je nu eenmaal veiliger met https.
Alleen zijn er nog zat mensen die daar niet zo bij stilstaan als ze een website bezoeken.
Er is bijv. een categorie die een antivirusprogramma heeft, en denken dat hen daarom niets meer kan overkomen.
De waarschuwingen van Firefox kunnen voor zulke mensen een bewustwording zijn dat er méér is om op te letten.

Waarom denk je dat alle banken https hebben? Omdat http ook veilig genoeg is?...
In ieder geval als je persoonlijke gegevens met een website moet communiceren heb je https nodig.
Al is het "maar" een e-mailadres, dan kan het toch een persoonsgebonden gegeven wat niet voor jan en alleman is bestemd.
En ook verder is https gewoon veiliger. Aanvallen die op een http-verbinding succesvol zijn, krijgen geen kans van slagen op een https verbinding als je een beetje oplet.
Het gaat hier om de veiligheid van de bezoekers van je website.
Daar ben je als ondernemer tegenwoordig medeverantwoordelijk voor als ik me niet vergis.

Wat lastig is bij de nieuwere browsers is als een website een gebrekkig certificaat heeft (bijv. geldigheidsdatum is verlopen) en die website bovendien HSTS gebruikt. Daar kan je namelijk geen "exception" voor maken in Firefox heb ik eens ervaren. Dat was enkele versies terug. Ik weet niet of dit nog steeds zo is.
Maar hee... het is ook best wel vreemd als iemand HSTS gebruikt in combinatie met een onbehoorlijk certificaat.
HSTS moet je op kunnen vertrouwen, en servers die HSTS adverteren zouden extra oplettend moeten zijn met de geldigheid van hun certificaten
30-03-2017, 12:28 door Anoniem
Door Briolet:
Hoewel ik bij "Logins entered on this page could be compromised" dan wel een beetje dubbel gevoel krijgt: hoezo 'could', waar hangt dat dan van af?

Dat hangt er misschien vanaf of er geen andere codering van het wachtwoord gebruikt wordt?

Deze browsers kijken alleen naar de verbinding en niet hoe de inlog gebeurd. Ik ken forums waar je via http inlogt, maar het wachtwoord aan de cliënt zijde versleuteld wordt, dan met de session ID gesalt en weer versleuteld wordt, waarna de ontstane hash verstuurd wordt. Bij een beetje goede versleuteling heeft een aanvaller niets aan de onderschepte hash en is de inlog toch nog redelijk veilig. In elk geval veilig genoeg voor een forum.

Als je de JS code van de "Oil and Gas International" site bekijkt, wordt daar het WW wel in plaintekst verzonden.

In jou voorbeeld is de kans groot dat een aanvaller slechts het SessionID hoeft te clonen voor session-hijacking en dan de hash of het wachtwoord zelf niet nodig heeft. 'Sterk geconfigureerde HTTPS' beschermd tegen veel meer dan wat meekijkende ogen: 1) Sterke Identificatie van de server/andere partij; 2) vertrouwelijkheid en mogelijk zelfs forward-secrecy en 3) Integriteit van de verstuurde data (indien b.v. GCM blockmode gebruikte wordt voor versleuteling)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.