Indien je dus naar www.nu.nl of www.tvgids.nl gaat, waar je geen enkele informatie achterlaat, dan moet dit encrypted zijn ? Dit is typisch risico's bestrijden, zonder stil te staan bij zaken als een risk assessment. Niet iedere website hoeft een beveiligde verbinding te bieden.

Als je wilt reageren op nu.nl moet je inloggen, https lijkt me dan niet overbodig.
Bij diverse tv gids programma's kan je een persoonlijke gids aanmaken. Moet je ook voor ingelogd zijn, dus ook hier is https niet overbodig lijkt mij

https wordt niet alleen gebruikt om je verkeer te versleutelen, maar ook om de authenticiteit van de server te controleren. Zit je wel echt op www.nu.nl, of kijk je naar fake news?

Prima,als ze het maar niet verbieden om er verbinding mee te kunnen maken
Velen FTP bieden nog de optie om oude drivers te vinden voor oude hardware altijd leuk.

Http versus https zegt slechts iets over de beveiligde verbinding, niets over de werkelijke beveiligingsgraad van de website of juiste configuratie of proliferatie op webserver, naamserver, SQL server etc.

Ga hier eens een kijkje nemen en schrik je vervolgens rot wat er nog niet klopt.

Het is de gemeenschap in slaap sussen met een https only gevoel en de ogen laten sluiten voor alle onveiligheid of data onveiligheid en groot commercieel gesjacher ten koste van de eindgebruikers. Als je weet hebt van de werkelijke situatie is de totaal geborkte toestand op de infrastructuur eigenlijk schandalig.

luntrus

Buiten dat, het is een stuk makkelijker om dingen te injecteren in een http stream. Https op vertrouwde sites als nu.nl heeft dus wel degelijk nut.

Haha maat, ik hoor later wel weer van je he!

Zodra bijvoorbeeld een sucessvolle MITM aanvaller jouw systeem heeft overgenomen omdat hij simpelweg malicious content kon inladen op jouw laptopje bij de McDonalds toen jij naar nu.nl surfde.

Of dat iemand artikelen kan aanpassen die jij leest om jou onzin te laten geloven en die jou bijvoorbeeld op rare partijen doen laten stemmen e.d.

Ook kon de McDonalds natuurlijk exact zien welke artikelen jij op nu.nl leest en hoelang jij welk artikel bekijkt. Kan toch interresant zijn om deze data te verkopen, niet?


Elke website moet een beveiligde verbinding hebben. Dit kost bijna geen moeite om op te zetten, heeft een miniscule tot geen enkele performance impact maar verkleint het aanvals oppervlakte drastisch.

Dit was mijn "risk assessment" zoals jij het noemt ;-)

Performance is best wel iets. SSL verbindingen termineren, kost best nog wel wat performance. Onderschat dit niet even. Zeker als we even een site als nu.nl nemen met heel veel verbindingen. Is het technisch mogelijk.....Zeker. Maar het kost wel de nodige CPU power en de nodige kosten als je dit met een appliance wilt doen.

Https-everywhere heeft ongetwijfeld voordelen vanwege de veilige verbinding, maar er blijven evenwel toch een flink paar mitsen en maren.

Al heb je een veilige verbinding en via een scannetje ontdek je, dat je onveilige bindversie van je naamserver uit te lezen valt of andere technische onvolkomenheden via een 3rd party nmap scannetje, dan zit er echt iets niet goed en blijf je nog soms volop kwetsbaar.

Het zijn allemaal toch in wezen "security through obscurity" maatregelen, aan het oog ontrekken via https-only op het non-publieke internet. Zit je met je gratis domeintje bijvoorbeeld bij een hoster als afraid dot org, dan is ineens jouw sub-domein het jouwe niet meer. Tenminste het kan zomaar zo zijn. Onveilige cloud, dus. Weten we wat er allemaal achter ons rug op de exchange van Akamai Amsterdam gebeurt. Zit je dedicated?

Was het http, zou ik het wel eens via een Intellimap scannetje willen zien wat daar allemaal staat? Of liever niet want het is niet aan mij om daar direct naar toe te kunnen. NSA zal een beter overzicht hebben inmiddels.

Dus mensen praten met de kennis van zaken, die ze hebben. Ik zie nog niet veel echt veilig gemaakt, veel zogeheten Google veiligheid voor de bühne, hun profilerende algoritmen hebben u steeds verder "bij de beer", daar verandert zulk "opleuken" verder niet veel aan. Natuurlijk blij met Google Safebrowsing en Mozilla's observatorium etc, maar toch!

Complete transparantie, dat willen we. Die Overlords moeten maar eens flink met de billen bloot!

Weten waar onze data gevaar lopen en wie er allemaal in onze info zit te roeren, graaien en te pruttelen van commerciële grootgrutter tot onbetrouwbaar imperium surveillance dienst.

Hou toch op. Wie gelooft hun sprookjes uiteindelijk nog? Ga eens echt iets fundamenteels aan de veiligheid van de infrastructuur doen a.u.b.

Maar dat wil men niet (of willen we niet met zijn allen) en heel wat van de redenen waarom,
daar kan ieder hier inmiddels zelf wel iets bedenken.

Houdt dat ook in dan dat je een Nvidia Video kaart driver via FTPS ipv FTP dient te downloaden ? En leg eens uit wat het functionele nut is van HTTPS op de website van het weerbericht, of de ANWB file informatie ? Ben je bang dat mensen gaan sniffen en dan ontdekken dat jij al weet of er file op de weg staat, of wat de weersverwachting is ?

Leg eens uit *waarom* iedere website HTTPS moet gebruiken - zeker wanneer het gaat om websites zonder gevoelige informatie, en waarop je geen enkele informatie kan achterlaten.

Je lijkt bijna te willen zeggen: Doordat er andere problemen zijn heeft invoering van https geen zin.

Ik beschrijf deze redenering altijd met de analogie:
Er zitten een heleboel gaten in mijn boot, dus heeft het geen zin er eentje dicht te maken, want we zinken toch.

Bijna gelijk aan de redenering die mensen soms gebruiken om een nieuwe insecure werkwijze/product te gaan gebruiken: Er zitten al een heleboel gaten in mijn boot, dus is het niet erg om er eentje bij te maken, want we zinken toch.

Beide gaan uiteraard mank.
Waar ik je wel gelijk in geef:
Het feit dat dit opgelost wordt ontslaat uiteraard niemand van de verantwoordelijkheid om na het pluggen van gat 1, naar de andere gaten te kijken. Je noemt er daarvan een aantal waar zeker aandacht voor moet zijn.

Inderdaad. Of een website compromised is, en bijvoorbeeld een exploit kit bevat, dat staat los van de vraag of er sprake is van HTTPS.


Lol, alsof HTTPS iets zegt over de vraag welke data Nu.nl doorverkoopt, of aan wie. Bij Facebook zit je dus veilig met je privacy, want Facebook gebruikt HTTPS ;)


Wow wat een risk assessment. Hoe groot lijkt jou de kans dat iemand een MiTM aanval op jou gaat uitvoeren, om je rare artikelen te laten lezen, met het doel jou op een rare partij te laten stemmen.... 0.00% ?

Het gaat niet om de kans op een targeted attack, die is m.i. bijna zero, maar ik kan wel voortdurend blootgesteld worden aan PHISHING, derde partij profiling, hetgeen ik wil vermijden. Waar helpt dan https? Als criminelen gesjoemeld hebben met een gratis of onoplettend uitgegeven certificaat op een sub-domein bij voorbeeld?

Niets ten nadele van deze maatregelen, monitoren en loggen wat er gebeurt tussen server en client (juist daar, dat ik script dicht zet). liefst meer security headers, juiste configuraties, best practices...

Het is niet omdat de infrastructuur lek is en niet vertrouwd kan worden heeft https geen waarde, het is niet selectief wat doen omdat het mooi staat. Net als bij onveilige certificaten, eerst de financien veiligstellen en dan langzaam de boel vervangen, zodat je de eindgebruiker weer de schuld in de schoenen kan schuiven, echt "fail".

Laten we maar eens een willekeurige site nemen uit de https everywhere atlas en wat daar allemaal nog te verbeteren valt:
https://www.eff.org/https-everywhere/atlas/domains/kanbox.com.html
en het gebruik van huidige technologie en nieuwe 'best practices': 31 procent is magertjes: https://en.internet.nl/domain/kanbox.com/95232/
en een F-status hier laat ook nog wat verbeteringen toe: https://observatory.mozilla.org/analyze.html?host=kanbox.com

luntrus

Indien men wil dat mensen certificaten serieus nemen, dan moeten bedrijven toch echt eens leren om op een goede manier om te gaan met certificaten. Op tijd verlengen. Geen self-signed certificaten, en ga zo maar door. Nu maken bedrijven er vaak zo'n potje van, dat mensen waarschuwingen simpelweg gaan negeren. Het laten verlopen van certificaten lijkt eerder regel dan uitzondering. Kennelijk hebben veel bedrijven hier geen werkend proces voor (en IT-ers maken niet vaak een reminder in hun agenda dat zij hier aandacht aan moeten besteden) ?

De meeste waarschuwingen welke ik zie m.b.t. certificaten zijn gevolg van slordigheid, meer dan van werkelijke beveiligingsproblemen....