Je hebt een klacht over de onderstaande posting:
Door Erik van Straten: Door majortom: Op die manier creeer je een tweezijdige authenticatie, waarbij alleen certificaten van een eigen verttrouwde CA worden geaccepteerd. Een MitM wordt dan toch wel lastig cq onmogelijk met de middelen die een gemiddelde (niet statelijke) actor tot zijn beschikking heeft (aangezien het nep-certificaat van de MitM server niet zal worden geaccepteerd door de app). Verder dicht te timmeren door niet een willekeurige URL van een server te vertrouwen maar enkel white-listed servers. Stap 3 uit mijn laatse reactie (https://security.nl/posting/855557) kan inderdaad ook worden geïmplementeerd gebruikmakend van TLS-ondersteuning voor clientcertificaten, en/of door de app server-certificate pinning te laten gebruiken. Echter, álle protocollen die ongewenste AitM's nagenoeg onmogelijk maken, stuiten in de praktijk op het (wellicht onderschatte) probleem dat dan ook "legitieme" AitM's onmogelijk zijn. Denk aan alles dat TLS, met toestemming, "openbreekt" en waarvoor je een speciaal ...
Beschrijf je klacht (Optioneel):
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
