Klopt

Kijk maar
https://observatory.mozilla.org/analyze.html?host=security.nl

Enneh,.. oeps, tja
https://observatory.mozilla.org/analyze.html?host=mozilla.org

Misschien eerst maar eens de eigen site op orde brengen dan mzzzzzla?
Gratis perspraatjes vullen immers geen gaatjes.

@ website security lieden....

The stack is a bitch!

HTTPS:// natuurlijk een belangrijke maatregel, zoiets als het opzetten van een plastic bril bij het afsteken van vuurwerk.
Scheelt een heleboel narigheid later als het goed fout zou gaan. Maar veel mensen met bravoer zijn te stoer voor zo'n bril en missen daardoor later wel een gedeelte van hun gezichtsvermogen. Eigen schuld dus vaak.

Toch blijft het https-everywhere project in een heleboel opzichten m.,i. toch meer een kosmetische oplossing dan iets anders. Ook gaat het met de automatische http naar https redirects nogal eens mis.

Kijk maar eens hier waar een heleboel andere zaken toch mis zijn: https://www.eff.org/https-everywhere/atlas/
voorbeeld van iets "disabled by default": https://www.eff.org/https-everywhere/atlas/domains/openstreetmap.org.html

De veilige verbinding is dan wel gewaarborgd, net zoals dat we thuis de gordijnen dichttrekken, maar wat er achter deze gordijnen zich nog aan onveiligheid bevindt, dat zou ons eigenlijk meer zorgen moten baren. Vaak veiligheid tot de knop van de rack-console deur.

We worden met een groen slotje in slaap gesust vaak. Daarachter kan de gevaarlijke cloud zitten, het gratis sub-domeintje, dat zo maar in andere handen kan vallen en nog veel meer 'kosten gaan voor de baat uit ' en 'de rekening zit onder in de zak' issues. Wat gebeurt aan de andere zijde van het scherm van uw device?

En dat is nog al wat aan gebreken, gezien het percentage van geimplementeerde veiligheidsmaatregelen bij gebruikte webtechnieken. Zie de grafiek in het bericht van de redactie.

Laten we de m- & p-developers eerst eens 'security savvy' maken en vervolgens de anderen die met websites omgaan, maar op de een of andere manier wordt dat altijd gefrustreerd, er zijn namelijk griezelig grote belangen om de infrastructuur alleen maar wat veiliger te laten lijken met pret certificaatjes als root op de server bijvoorbeeld en best policies die elkaar bij verschillende platformen in de weg lijken te zitten en dat ook werkelijk doen.

Excessieve server info proliferatie bij onveilige naamservers. Een immens probleem ook naar hogerop in de structuur.
Sommige dingen die in het netwerk hangen, maken "de hele omgeving" onveilig, zoals bij Poodle etc.

Doe maar eens een asafweb scannetje of een shodannetje of een Dazzlepod ip scan.

Wat doen we met kwaadaardig DNS? Zie: https://www.theregister.co.uk/2016/02/16/glibc_linux_dns_vulernability/
Random voorbeeldje: http://www.dnsinspect.com/ns1.com/10056192

Wat doen we met CMS onveiligheid? - bij voorbeeld hackertarget.com/wordpress-security-scan/
en hier - random voorbeeld: https://www.magereport.com/scan/?s=https://hacmint.com/

Wat doen we met af te serveren script libraries?: http://www.dnsinspect.com/ns1.com/10056192

Wat doen we dan vervolgens op dit vlak als we iets vinden?: https://sritest.io/
en ook hier: https://observatory.mozilla.org/

En belangrijk de sources & sinks, waar we hier op kunnen stuiten: http://www.domxssscanner.com/

Mij lijkt het soms onbegonnen werk en daarom wordt targeted cyberwar thans zo succesvol.

Waar gaat de omslag aanvangen en wie gaan dit doen of gaan we dit echt nooit beleven?
Komen we niet verder als stammenstrijd en OS-flame wars,
zonder te kijken wat we kunnen doen, waar en wanneer.

luntrus

Jammer dat nu.nl hier niet bij hoort. En maar klagen over adblockers, maar een secure login bieden doen ze niet. Ook reageren ze niet op verzoeken om https te implementeren.