Firefox verhelpt tls-foutmelding die antivirus veroorzaakt
Mozilla heeft een oplossing ontwikkeld voor de tls-foutmeldingen die antivirusprogramma's bij het bezoeken van websites veroorzaken. Volgens de browserontwikkelaar heeft 60 procent van de Firefoxgebruikers op Windows antivirussoftware geïnstalleerd.
Een deel van deze programma's onderschept het https-verkeer van gebruikers, om het op zaken als malware en phishing te controleren. Doordat https-verkeer is versleuteld, is het standaard niet toegankelijk voor antivirussoftware. Virusscanners omzeilen dit door een eigen rootcertificaat op computers te installeren, waardoor de inhoud van het webverkeer toch geanalyseerd kan worden.
De certificaten die antivirusprogramma's gebruiken worden standaard niet door Firefox vertrouwd. In het geval virusscanners de verbinding van de gebruiker onderscheppen laat de browser daarom een waarschuwing aan gebruikers zien dat het niet op een veilige manier verbinding met de website kan maken. Firefox beschikt over een optie waardoor rootcertificaten die door de gebruiker of een programma op de computer zijn geïnstalleerd, toch door de browser worden vertrouwd.
Vanaf Firefox 68 zal de browser wanneer het ziet dat verkeer wordt onderschept deze optie automatisch inschakelen en de verbinding opnieuw proberen. Als dit het probleem verhelpt blijft de optie ingeschakeld, tenzij de gebruiker die handmatig uitschakelt. Volgens Mozilla moet dit de problemen waar Firefoxgebruikers tegen aanlopen sterk verminderen.
In Firefox 68 ESR (Extended Support Release) zal de optie standaard zijn ingeschakeld. Firefox ESR is een versie die alleen maar beveiligingsupdates ontvangt en is vooral voor bedrijven en organisaties bedoeld. Door het accepteren van de interne rootcertificaten van de organisatie, moet het proces voor systeembeheerders om Firefox uit te rollen worden gestroomlijnd.
Als laatste is er aan Firefox 68 een indicator toegevoegd waarmee de gebruiker kan zien of een website van een geïmporteerd rootcertificaat gebruikmaakt. Firefox 68 staat gepland voor 9 juli.
Hoe weet Firefox of een MitM die zich als TLS-inspecterende virusscanner voordoet, goedaardig of kwaadaardig is? Of gaat Firefox rücksichtloss rootcerts uit de Windows certificate store overnemen?
Overigens denk ik dat de voordelen van TLS-inspectie t.b.v. malwarescanning totaal niet opwegen tegen de vele nadelen ervan.
Onverstandig, maar is het ook verstandig dat je av oplossing alles van je weet?
Met Kaspersky zeker niet volgens de autoriteiten, die het kunnen weten
en voor DrWeb en Bitdefender is het ook nog maar de vraag.
AV uit de rest van de wereld met een vestiging in de USA,
kun je natuurlijk met een gerust hart je hele kaboedel laten scannen.
Niets mis mee, ze delen dat men niemand - echt waar.
Alleen voor AV-doeleinden kunnen uw scangegevens nodig zijn,
of het helpen van uw mede-bedreigden, die van deze AV oplossing gebruik maken.
#sockpuppet
kun je natuurlijk met een gerust hart je hele kaboedel laten scannen.
Niets mis mee, ze delen dat men niemand - echt waar.
Alleen voor AV-doeleinden kunnen uw scangegevens nodig zijn,
of het helpen van uw mede-bedreigden, die van deze AV oplossing gebruik maken.
Tegenwoordig besteden bedrijven (vooral MKB) massaal hun email uit aan Amerikaanse bedrijven zoals Microsoft (Office365). Die scannen alle bestanden en volgen links, waarbij het aanwezige materiaal wordt gedownload. Er is dus geen redelijke mate van privacy als je dit aan hebt staan. Mijns inziens wordt hiermee de AVG massaal overtreden.
Met proxies en Internet toegang is het zelfde aan de hand: bestanden worden doorgestuurd naar die niet-Europese bedrijven zonder dat de gebruiker het in de gaten heeft of de impact daarvan beseft. En tenslotte gebeurt dat nog eens door antivirus op de desktop of servers.
Als je dus naar zo'n bedrijf een bestand wilt sturen weet je een ding zeker: exclusiviteit is allesbehalve gewaarborgd. Het kan niet als emailbijlage, het kan niet via een web site met geheime link, het kan zelfs niet met een link en vereiste login. En voor degenen die het ueberhaupt gebruiken: via S/MIME en GPG is alleen het transport beveiligd, het bestand zelf niet.
Als je het bestand zelf beveiligd met wachtwoord wordt het geweigerd omdat de scanner er niet in zou kunnen kijken. Dat is overigens vaak niet zo: er kan beveiliging op zitten (bijvoorbeeld niet aanpasbaar) zonder dat de inhoud onbereikbaar wordt. Je kunt bijvoorbeeld een PDF gewoon bekijken zonder wachwoord, maar niet aanpassen.
Ironisch dus dat "beveiligingsproducten" juist de veiligheid van data onderuit halen en beveiliging tegenwerken.
De zo verkregen bestanden vormen een goudmijn voor inlichtingendiensten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.