Een vergezocht, bijna theoretisch scenario? Nee hoor, want je hoeft echt niet
de hele site na te bouwen; enkel de pagina's waar iemand gegevens invoert -
en die kun je desnoods natuurlijk zo even rippen. Als er maar een paar
slachtoffers zo stom zijn om meteen die gegevens ook daadwerkelijk in te
tikken en op send te klikken, dan is de fraudeur al lang blij; dat veel anderen
voor die tijd al doorhebben dat het niet de ECHTE site is waar ze op zitten,
da's dan niet zo erg meer... de slag is immers al geslagen.

Lijkt me dus dat Marktplaats eens wat aan die onduidelijkheid moet gaan
doen... maarja, wie gebruikt er nou mixed content voor een site waar online
transacties plaatsvinden?

Dit klopt niet. Het feit dat je de security details van het
frame
waarin de transactie gedaan wordt (die SSL is) niet kunt
opvragen, komt
niet omdat marktplaats deze details niet geeft. Het komt omdat
je de security details van de ssl verbinding van een
subframe niet kunt
opvragen.

Volgende heb ik niet getest maar ik heb een sterk vermoeden
dat als je
de frame pagina zelf wel over SSL laat lopen dat je een mooi
slotje krijgt
alsof de verbinding beveiligt is via SSL (zelfs als de
subframes NIET over
SSL gaan). En dat als je op die pagina op het slotje klikt
je de security
details van de SSL verbinding krijgt waarover de frame
pagina is
binnengehaalt (en niet het subframe waar de transactie in
gedaan wordt).

Ik moet zeggen dat ik de net beschreven situatie erger
vind, dan de
huidige situatie. Omdat bij de net beschreven oplossing je
de gebruiker
kunt laten denken alsof de transactie over een beveiligde
verbinding
gaat terwijl deze dat niet is.

Ook als ik het goed begrijp, niet getest, gaat de
transactie wel
degelijk over een beveiligde verbinding. Dus is er nu het
geval dat
de oplettende gebruiker niet direct kan concluderen dat de
verbinding
over SSL is terwijl deze dat wel is.

Een andere oplossing zou natuurlijk wel kunnen zijn de
transactie in
een niet frame window te laten plaatsvinden, echter dat
heeft weer
redelijke impact op de interface.

P.S. Met "frame pagina" bedoel ik de pagina waarin de frame
set gedefiniëerd wordt.

Kweenie hoor, ik raad maar wat, maar wellicht is het mogelijk om
dmv een XSS exploit info te jatten uit het veilige frame...

Die situatie bij Marktplaats is nmm (zeer zwak uitgedrukt)
niet in orde, ook al lijkt de kans klein dat er echt
misbruik van gemaakt gaat worden.
Er zijn niet voor niets security protocollen ontwikkeld. Er
zijn niet voor niets vertrouwens punten in gemaakt. Er wordt
niet voor niets telkens op gehamerd waar internetters op
moeten letten mbt veiligheid.
Marktplaats lapt het hier grotendeels aan de laars.
Misschien niet met slechte bedoelingen, maar het helpt
absoluut niet mee aan het opbouwen van vertrouwen met deze
heruitvindingen van het wiel. Het is geen goede zaak als je
om veiligheid te tonen een ander systeem gaat opzetten met
dezelfde herkenningspunten als de normale protocollen. Zelfs
als het opgezette systeem op dat moment veilig is, moet je
dat niet laten verwarren met een ander systeem waar
internetters op moeten kunnen vertrouwen.
Verder is het mixen van secure en non-secure content een
doodzonde als je het veilig wil hebben en vetrouwen wil
uitstralen. ALs je het gaat mixen moet je halve gare
maatregelen treffen om het op de een of andere manier te
compenseren, zoals marktplaats nu doet.
Het is echt niet zo veel moeite om het op de normale
vertrouwde en meest veilige manier secure te maken zonder
deze omwegen en kunstjes.
Afgezien wat ik er beroepsmatig van vind, vind ik dit als
internetter gewoon een belabberde service. Wat moet ik nu
van dit soort gekopieerd gedoe vinden als ik niet goed kan
zien of het nu daadwerkelijk veilig is of niet? Ik ga echt
niet vertrouwen op de gegevens van de partij zelf. Dan maak
ik echt voor de veiligheid liever gebruik van een service
waar ze wel normaal aan beveiliging doen.

Niet alleen is de SSL is een knakken verbinding. Er zijn zelf fouten in hun
PHP scripts. Het is mogelijk SQL commando's te geven, XSS aanvallen uit
te voeren en zelfs bestanden te uploaden die zich voordoen als image
(eerste line GIF of JPEG header meegeven).

Maar goed zolang zij hun geld verdienen is het goed (zegt men altijd).

Als je het zo goed weet, laat het dan eens zien?

Zolang Internet Explorer niet standaar de geldigheid van het certificaat
controleerd, geen eind datum etc. kan een "domme" gebruiker altijd de fout
ingaan. Daarnaast is het zo dat iemand van een genepte website ook een
beveiligde verbinding op kan zetten met een eigen certificaat. Dus wel of
geen slotje op gedeeltelijke of geheel SSL encrypte content. Wat maakt het
allemaal uit als een domme gebruiker niks controleerd.

Klinkt net zoals een acceptgiro binnenkrijgen en standaard betalen zonder
de rekening gegevens te controleren.

Of als.... "ik krijg een zipje met een password binnen, ohhh zal ik die eens
openen?"