Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Privacy - Wat niemand over je mag weten

Mozilla kondigt ECH aan voor Firefox 85

Reageer met quote
09-01-2021, 13:50 door Anoniem, 10 reacties
Na 2 jaar experimentele ondersteuning voor ESNI (Encrypted Server Name Indication) heeft Mozilla ECH aangekondigd.
(https://blog.mozilla.org/security/2021/01/07/encrypted-client-hello-the-future-of-esni-in-firefox/)

Er bleken onvolkomenheden te zitten in ESNI.
Zo kon bijvoorbeeld bij hervatting van een sessie toch de onversleutelde naam van de website weer verschijnen die eerder
met behulp van ESNI was versleuteld.

ECH (Encrypted Client Hello) is in wezen een verbeterde versie van ESNI die de privacy voor wat betreft welke websites die je bezoekt en die gebruik maken van SNI, zou moeten garanderen. ECH werkt alleen bij gebruik van TLS1.3.
MSM media propaganda - censuur of vooringenomen uit eigenbelang?
Hoe beperk je de schade wanneer een foto van je rijbewijs online is gekomen
Reacties (10)
Reageer met quote
09-01-2021, 22:53 door Anoniem
Dit stond donderdag al op deze website https://www.security.nl/posting/685074/Firefox+gaat+TLS-handshake+via+Encrypted+Client+Hello+beschermen
Reageer met quote
10-01-2021, 09:38 door Erik van Straten
Ik denk dat we te ver gaan met proberen te verhullen met welke websites we communiceren. Iets dat sowieso onmogelijk is (even los van TOR en publieke VPN's), want zelfs als je DoH gebruikt om het IP-adres en public key (voor ESNI of ECH) op te halen, is er minstens 1 partij die weet dat jij dit doet. Belangrijker, daarna communiceert jouw browser met een IP-adres dat representatief is voor één of meer websites.

Als het om meer dan één website gaat, bestaat de kans dat de hoeveelheid door de site verzonden bytes verraadt om welke site (op dat IP-adres) het gaat. Bovendien kan elk van die websites jouw browser met een uniek patroon van verschillende andere websites (jquery, google-analytics, ...), en in een bepaalde volgorde, aanvullende data laten ophalen, waardoor iemand met toegang tot de verbinding in de buurt van jouw device alsnog precies kan vaststellen welke website jij bezoekt.

Met al deze flauwekul vergroten we de complexiteit (dat leidt altijd tot meer securityproblemen) en dit maakt foutzoeken lastiger. Je bent nooit 100% anoniem op internet, en om misbruik aan te kunnen pakken is dat maar goed ook.

Maar misschien zie ik dit verkeerd en kunnen jullie mij met steekhoudende argumenten overtuigen waarom ESNI en/of ECH toch een goed idee zijn.
Reageer met quote
10-01-2021, 11:38 door Anoniem
Door Erik van Straten: Maar misschien zie ik dit verkeerd en kunnen jullie mij met steekhoudende argumenten overtuigen waarom ESNI en/of ECH toch een goed idee zijn.
Het gaat er vooral om dat er minder gegevens beschikbaar zijn voor iemand die passief je internet verkeer afluistert. Daar helpt het wel tegen. Althans, als de websites die je gebruikt worden gehost op een groot platform, zodat alleen een IP-adres niks zegt over welke website je bezoekt. Alle beetjes helpen. Dat deze code/protocollen ook security implicaties heeft/hebben ga ik niet in mee. Net als bij TLSv1.3 meen ik dat ze hier een formele analyse voor maken om security problemen te voorkomen.
Reageer met quote
10-01-2021, 19:30 door Anoniem
Door Anoniem: Dat deze code/protocollen ook security implicaties heeft/hebben ga ik niet in mee.
Als je het bekijkt vanuit het standpunt van eigenaars of ouders die bezoek van bepaalde websites willen beperken dan
heeft het wel degelijk implicaties.
Reageer met quote
10-01-2021, 20:41 door Erik van Straten - Bijgewerkt: 10-01-2021, 20:44
Door Anoniem: Het gaat er vooral om dat er minder gegevens beschikbaar zijn voor iemand die passief je internet verkeer afluistert. Daar helpt het wel tegen.
Passief afluisteren volstaat om IP-adressen van bezochte websites te zien. Bovendien zie ik nog steeds veel websites die expliciete http:// links naar andere websites in hun pagina's opnemen (alleen als zo'n doel-site HSTS goed implementeert en de surfer die site recentelijk bezocht heeft met de nu gebruikte browser, zal de browser meteen via https communiceren; anders met plain text).

Daarnaast is het naïef om te denken dat kwaadwillende overheden en cybercriminelen niet actief zouden kunnen "afluisteren" of beïnvloeden (bijv. door netwerkverkeer om te leiden), maar om het IP-adres van een website te achterhalen is dat niet eens nodig.

Door Anoniem: Althans, als de websites die je gebruikt worden gehost op een groot platform, zodat alleen een IP-adres niks zegt over welke website je bezoekt. Alle beetjes helpen.
Geldt dat ook voor alle beetjes schijnveiligheid? De meeste websurfers hebben geen idee of een website, die zij willen bezoeken, op shared hosting draait of niet. Bovendien maken alle websites van enig formaat geen gebruik van shared hosting.

En zoals ik schreef, mocht je denken te kunnen verhullen welke shared-hosting-website jij bezoekt: zelfs dan zijn er mogelijkheden om alsnog te identificeren welke websites jij bekijkt (en bij publiek toegankelijke websites zelfs welke pagina's jij opent). Vooral als het om websites met extremistische ideeën gaat, zullen veiligheidsdiensten (van een land dat die ideeën als extremistisch bestempelt) geïnteresseerd zijn wie de bezoekers zijn en hoe vaak zo'n site bezocht wordt.

Mocht ik je nog niet hebben overtuigd: noem eens wat voorbeelden van websites met shared hosting waarvan jij niet zou willen dat overheden, cybercrimenelen of welke derde partij dan ook (anders dan analytics sites e.d.) weten dat jij ze bezoekt.

Door Anoniem: Dat deze code/protocollen ook security implicaties heeft/hebben ga ik niet in mee. Net als bij TLSv1.3 meen ik dat ze hier een formele analyse voor maken om security problemen te voorkomen.
M.b.t. protocollen: bij SSL v1.0 t/m v3.0 en TLS v1.0 t/m v1.2 is er ook door knappe koppen nagedacht over security, maar ook die bleken later allemaal ronduit lek of op z'n minst voor verbetering vatbaar. Ik heb nieuws voor je: TLS v1.3 gaat niet de laatste versie zijn. Meer zorgen maak ik mij echter over implementatiefouten (daarvan regent het voordurend).

Browsermakers kunnen hun tijd m.i. beter besteden aan systemen en/of GUI's die phishing (domainname spoofing/theft) moelijker maken en/of deze aanvallen beter herkenbaar maken voor gebruikers (in plaats van het schrappen van EV-certificaten, het moelijker maken domeinnamen in z'n geheel te zien, verwarrende/afleidende symbolen toe te voegen aan de URL-balk en überhaupt bij elke nieuwe versie veranderingen in dit gebied aan te brengen).

En als browsermakers serieus wat aan privacy willen doen, zouden gebruikers in staat moeten stellen om te opt-outen van alle analytics sites die meekijken met alles wat jij doet op een website.
Reageer met quote
11-01-2021, 02:01 door Anoniem
Door Anoniem:
Door Anoniem: Dat deze code/protocollen ook security implicaties heeft/hebben ga ik niet in mee.
Als je het bekijkt vanuit het standpunt van eigenaars of ouders die bezoek van bepaalde websites willen beperken dan
heeft het wel degelijk implicaties.
Het is altijd vermakelijk om te horen/zien hoe kinderen hun (veelal) digibete ouders overtreffen door allerlei opgelegde digitale beperkingen te omzeilen/hacken. Die hebben dat genoeg kunnen oefenen op de meestal brakke 'schoolwifi'. Met dezelfde 'beperkingen'. Daarnaast regeert nu ook de Leugen met als gevolg dat er een generatie opgroeit die gehakt zal maken van beperkingen en censuur.
Reageer met quote
11-01-2021, 13:14 door Erik van Straten - Bijgewerkt: 11-01-2021, 13:19
Door Anoniem: Het is altijd vermakelijk om te horen/zien hoe kinderen hun (veelal) digibete ouders overtreffen door allerlei opgelegde digitale beperkingen te omzeilen/hacken.
Ik vind het niet vermakelijk dat je op lokale (bedrijfs-) netwerken steeds minder goed kunt opmerken (op netwerkniveau) dat een device is gecompromitteerd.

Als endpoint malware-detectie heeft gefaald (niet ongebruikelijk) en is uitgeschakeld, en alle legitieme communicatie wordt versleuteld, zie je geen verschil meer met versleutelde communicatie door malware (waarbij je je niet op het verkeerde been moet laten zetten door niet versleutelde SNI voor bijvoorbeeld "security.nl" die naar het IP-adres van een C&C server wordt gestuurd die niets met security.nl te maken heeft - maar wellicht, om onderzoekers te misleiden, alleen commando's en/of aanvullende malware retourneert als specifieke SNI wordt meegestuurd).
Reageer met quote
11-01-2021, 14:18 door Anoniem
Mozilla heeft ook al partij gekozen binnen de nu dystopische verdeeldheid van de United States of Anarchy:
https://www.rt.com/usa/511996-mozilla-firefox-deplatform-trump-internet/

Ik denk dat dit goed nieuws is voor de Brave browser, met als (aan)stichter de javascript ontwerper met de orthodox christelijke achtergrond, namelijk Brendan Eich, die al eerder door de links groene leiding van Firefox-Mozilla juist daarom is weggestuurd. Epic Browser zal niet veel verschil maken. Misschien komen er Patriot-only browsers?

Laten we eens er eventjes op los speculeren - even uit de losse pols dus.

De volgende maand begint de era van Aquarius. We beginnen het al te merken. Elke zodiak-periode van zo'n 2600 jaar kende de eigen accenten.

Het teken Stier met Kreta, de doortocht door de Rode Zee en de aanbidding van het Gouden Kalf.

Dan de periode van het teken Ram na de uitocht uit Egypte, het volk dat zich verenigde onder de tonen van de sjofar (ramshoorn) en vanwege de afvalligheid van het gouden kalf alleen een ramshoorn geen andere hoorns.

Daarna na de verwoesting van de tempel begint de era van Vissen met het Christendom en de Islam.

Wat komt er nu, een technocratische tijd waarbij het geloofs-chromosoom via ingrijpen van Big Pharma Tech verwijderd zal worden? Robocop en trans-humanistische verwanten. AI on top.

De tijd voor een nieuwe Androgyne Godheid, de Asmodeus Obey Me-Baphometh. Tevens vormt het het eind en de volledige neergang aan het einde van het grote cyclische tijdvak, bekend als de Kali-Yuga.
Vol met mensen die niet ouder zullen worden dan 50 jaar? We zullen zien. Een leeg Europa en een ontvolkte aarde?

Kofiedik-kijkers aller landen verenigt u, wat zal het worden? Is alles gepredestineerd en ligt het vast in de eeuwige kronieken?

Zijn we aan het eind gekomen van deze virtuele simulatie-wereld en moet de Great Reset deze opnieuw gaan herstarten?
Na matrix zoveel een nieuwe matrix als detentie-onderkomen voor ons eeuwige zielen, maar nu met nog minder escapes?
Wie speelt er PAC-mannetje met ons?

Joris Goedbloed
Reageer met quote
11-01-2021, 16:29 door Anoniem
Door Erik van Straten:
Door Anoniem: Het is altijd vermakelijk om te horen/zien hoe kinderen hun (veelal) digibete ouders overtreffen door allerlei opgelegde digitale beperkingen te omzeilen/hacken.
Ik vind het niet vermakelijk dat je op lokale (bedrijfs-) netwerken steeds minder goed kunt opmerken (op netwerkniveau) dat een device is gecompromitteerd.

Als endpoint malware-detectie heeft gefaald (niet ongebruikelijk) en is uitgeschakeld, en alle legitieme communicatie wordt versleuteld, zie je geen verschil meer met versleutelde communicatie door malware (waarbij je je niet op het verkeerde been moet laten zetten door niet versleutelde SNI voor bijvoorbeeld "security.nl" die naar het IP-adres van een C&C server wordt gestuurd die niets met security.nl te maken heeft - maar wellicht, om onderzoekers te misleiden, alleen commando's en/of aanvullende malware retourneert als specifieke SNI wordt meegestuurd).

Daarom laat je je bedrijfsfirewall waar mogelijk ssl/tls-inspectie uitvoeren.
Reageer met quote
11-01-2021, 18:38 door Anoniem
Door Anoniem:
Daarom laat je je bedrijfsfirewall waar mogelijk ssl/tls-inspectie uitvoeren.
Dat kan binnenkort ook niet meer. Sites zullen meteen in de gaten hebben dat er een man-in-the-middle is.
Bovendien werkte dit toch alleen voor door het bedrijf beheerde computers en niet voor eigen devices.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 603
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter