Firefox toont waarschuwing bij recent gehackte websites
Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine.
Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik.
Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren.
"Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen.
Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch.
Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
Mischien dat je je nog wel herinnert wat er na "9/11" gebeurde: Allerlei waarschuwingen en dreigingsniveaux en kleurenschemas over mogelijke, potentieele, mogelijke potentiele, mogelijkpotentiele mischiene, en zo verdere "dreigingen" te waarschuwen. Compleet met kleurenschema dat ook onmiddelijk en genadeloos op de hak genomen werd.
Het "security" wereldje doet iets vergelijkbaars al jaren: Expres zo vaag-maar-wel-dreigend mogelijk voor "hackers", "cyber", en "cyberhackers" waarschuwen. Betekent niets, dus kun je er alles onderschuiven. Maar je enige optie om je tegen "alles" te beschermen is nog om met je cyberdekentje onder je cyberbed te kruipen en hopen dat er niet al cyberhackermonsters zaten voor je eronder kroop. Dat is dus niet nuttig.
En om dus wel iets nuttigs op "security"-gebied te gaan doen is het nodig de terminologie ook te laten opgroeien. Dus niet meer "hackers" dit en "gehacked" dat, en laat de hoedjes maar helemaal in de verkleedkist.
Maar wel benoemen waar het wel over gaat. In detail, zonder vage bangmaaktermen. Wat "hackers" ondertussen precies wel is, en niet meer dan dat. Dus zonder "hackers" en "gehacked". Want zodra je daarmee begint, ben je dus niet bezig met nuttige dingen, en kan je net zo goed gelijk ophouden. Meer hee, mischien is dat echt het beste dat je kunt?
Maar hoe kweek je een ander veiligheidsbewustzijn aan bij de eindgebruikers? Wat zegt hen "een mogelijk gevaarlijk su of tk-domein"? Analyseren ze wel eens met behulp van SNYK? Wat weten ze van Lucky13 kwetsbaarheid op de server, TLS session resumption extensive settings, van sri errors, ontbreken van noodzakelijke best policy header beveiliging?
Als de app- en website-developers al niet met meer oog ervoor worden opgeleid en onder tijddruk moeten werken met cheat-sheets en geen rekening houden met allerlei pakketten met onderlinge impact op de getroffen beveiligingsmechnaismen, die men via TYPE manipulatie wel weer weet te omzeilen bijvoorbeeld. Wat dan?
Als brakke code van af te voeren bibliotheken maar naast elkander op sites blijven staan? Als JavaScript errors niet voortdurend geskimmed, gelint en gehint worden? Dan zitten we onderhand met een digitaal botsautootje op een soort van Russische roulette te werken, toch?
Ik doe al twaalf jaar iets nuttigs naar me dunkt, maar ik zie dat ik, net als keizer Caligula bij Katwijk bezig ben met water naar de zee dragen en mijn paard beter kan voordragen als senator. We zijn al ver van het padje af als security TINF-lieden en we hebben de goegemeente over de afgeklopen 30 weinig aangeleerd. Hoe zijn we toch met zijn allen in zo'n toestand beland?
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.