Een terugkerend thema in thrillers is dat een pand zodanig
wordt verbouwd dat nietsvermoedende bezoekers (bijv. de
hoofdrolspeler) handelingen verrichten waar ze spijt van
krijgen (als ze het overleven).
In tegenstelling tot een pand is een website zo gekopieerd,
en is het de vraag of enkele afwijkingen in details door
nietsvermoedende bezoekers worden opgemerkt, temeer die
details bij herhaling gespoofed blijken te kunnen worden
(denk bijv. aan "url's" in de statusbalk). Dit wordt
versterkt door het feit dat op legitieme websites
voortdurend vanalles verandert, d.w.z. de layout tussen
sessies, maar denk ook aan afleidende dynamische content
tijdens de sessie. Ik vermoed dat met enige social
engineering ("sorry, maar t.g.v. een technisch probleem
hebben we tijdelijk een andere hostname") de meeste mensen
ook onbekende URL's zullen accepteren.
Wat vaak vergeten wordt is dat we uiteindelijk naar ongeveer
een miljoen pixels zitten te kijken die elk door complexe
software worden aangestuurd (denk aan
alle lagen,
waaronder DNS). De vraag is hoe we, en met welke
betrouwbaarheid, een gebruiker ervan kunnen overtuigen dat
de pixelcombinaties voor z'n neus door de bedoelde website
worden aangestuurd.
Security die-hards zullen onmiddellijk "certificaten" roepen
maar vooral met de implementatie van de bijbehorende
technologie bleek bij herhaling vanalles mis te gaan. Daar
komt bij dat de meeste mensen er geen flauw benul van hebben
hoe certificaten precies werken (complexiteit en
desinteresse) en ze (aangeleerd) tevreden zijn met het zien
van een slotje,
als het ze al opvalt dat dit een keer
niet verschijnt.
Het feit dat je op bijv.
http://www.paypal.com/(en, for that matter, security.nl) een wachtwoord kunt
intypen (dus een site waarvan de identiteit nog niet d.m.v.
een certificaat enigszins is aangetoond) is opvoedkundig
gezien bizar. Ten slotte is m.i. de aanpak van certificaten
in browsers te "binair": een certificaat wordt geaccepteerd
of niet (zo niet dan verschijnen er
vreselijk engepopups). Certificaat aanhangers raad ik aan
http://www.schneier.com/paper-pki.html nog eens
na te lezen.
Kortom, het hele gedoe over IDN's is overdreven. Er bestaat
gewoon niet zoiets als secure browsen; het is insecure of
iets minder insecure.
Erik van Straten