4.2% ik veronderstel dat dat de banken zijn?

Waarschijnlijk niet, met o.a. de mobiele versie van de Opera webbrowser kan men zonder enige vorm van encryptie toch gebruik maken van o.a. Postbank https pagina's en diensten....... (dit zou nooit mogelijk moeten zijn bij correct geconfigureerde servers en toegepaste encryptie techniek.)

Opera Encryptie melding:

This site is using an outdated encryption method currently classified as INSECURE. It CANNOT sufficiently protect sensitive data. Do you wish to continue?

- Q -

- @ - op vrijdag 23 december 2005 18:57
> met o.a. de mobiele versie van de Opera webbrowser
> kan men zonder enige vorm van encryptie toch
> gebruik maken van o.a. Postbank https pagina's en
> diensten....... (dit zou nooit mogelijk moeten zijn bij
> correct geconfigureerde servers en toegepaste
> encryptie techniek.)

Zodra sprake is van "Postbank https pagina's" is er wel
sprake van encryptie, namelijk de verbinding. Dat staat los
van het feit of jij een mobiele browser gebruikt of bijv. in
een internet cafe zit. Het uitgangspunt bij SSL is dat beide
eindpunten 100% betrouwbaar zijn (in een internet cafe
internetbankieren lijkt mij zeer onverstandig, zelfs met een
mobiele browser).

Opera over https://mijn.postbank.nl/:
> This site is using an outdated encryption
> method currently classified as INSECURE

Als ik in Firefox alleen SSL 3.0 toesta (dus niet de
onveilige SSL 2.0) krijg ik gewoon verbinding met
https://mijn.postbank.nl/. Als versleuteling zag
ik "3DES-EDE-CBC 168 bit" die bij mijn weten als veilig te
boek staat.

Door Googlen naar "outdated encryption method currently
classified as insecure" kun je redenen vinden waarom Opera
met deze melding komt. Bijvoorbeeld doordat je op de
bovenstaande URL's clicked, je gaat dan van een niet https
site naar een beveiligde. Als tip lees ik om dan je browser
window te refreshen (F5 toets). De melding kan mogelijk ook
worden veroorzaakt door secure Postbank pagina's die bijv.
plaatjes ophalen via gewoon (onversleutelde) http.

Probeer s.v.p. uit te vinden wat de oorzaak was van deze
Opera melding en laat het ons weten. Er zijn m.i. veel
redenen die ervoor pleiten om niet te internet
bankieren, maar het is ongewenst dat die vertroebeld worden
door onjuiste meldingen.

Erik van Straten

toch raar dat alle communicatie wel in plain text te
sniffen is.

"the presented certificate had errors"

<low encryption level>

-Log-In-
TLS v1.0 35 bit DES40_CBC (512 bit RSA_EXPORT/SHA)Exportable

Als ik in Opera alleen SSL 3.0 toesta (dus niet de onveilige SSL 2.0) krijg ik gewoon verbinding met https://mijn.postbank.nl/. Als versleuteling zag ik:

Cert.: mijn.postbank.nl:
Verbinding : TLS v1.0 40 bit DES (RSA/SHA)
Extensies:
:

X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto, Microsoft Server Gated Crypto
X509v3 CRL Distribution Points:
URI:http://crl.thawte.com/ThawteSGCCA.crl
Authority Information Access:
OCSP - URI:http://ocsp.thawte.com
CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt
X509v3 Basic Constraints (Kritiek): CA:FALSE

Cert.: Thawte SGC CA
Verbinding : TLS v1.0 40 bit DES (RSA/SHA)
Extensies:
:

X509v3 Basic Constraints (Kritiek): CA:TRUE, pathlen:0
X509v3 Key Usage: Certificate Sign, CRL Sign
Netscape Cert Type: SSL CA, S/MIME CA
X509v3 Subject Alternative Name: DirName:/CN=PrivateLabel3-15
X509v3 CRL Distribution Points:
URI:http://crl.verisign.com/pca3.crl
Authority Information Access:
OCSP - URI:http://ocsp.thawte.com
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto, 2.16.840.1.113733.1.8.1

----------------------------------------------------------------------

Internet-bankieren via mijn.postbank.nl kan als !Veilig! worden beschouwd. Het zijn gebruikers van de Opera webbrowser die (in dit geval) "minder" beveiligd zijn dan wanneer men bv de FireFox webbrowser zou gebruiken voor eenzelfde taak.

- Q -

Bij het tot stand komen van de verbinding onderhandelen (negotiation) de client en de server over verschillende zaken, waaronder welke symmetrische encryptiemethode gebruikt zal worden voor het versleutelen van het verkeer tijdens de verbinding.

- @ - schreef op zaterdag 24 december 2005 21:36:
> TLS v1.0 35 bit DES40_CBC
> (512 bit RSA_EXPORT/SHA)Exportable

Het lijkt er op dat voor "export grade encryption" is gekozen (tot begin deze eeuw mocht uit de USA slechts zwakke encryptie worden geexporteerd). Een dergelijke encryptie voorkomt "meekijken", maar meer ook niet; zie bijv. http://stronghold.redhat.com/c2net/pr/19970618 (inderdaad, uit 1997). Of deze onverstandige keuze aan Opera of aan de Postbank ligt weet ik niet.

Je schreef eerder dat je een "mobiele versie van de Opera webbrowser" gebruikt. Bedoel je daarmee eentje van Opera zelf voor op een PDA o.i.d. (http://www.opera.com/products/mobile/), of voor op een USB stick (http://chooseopera.com/CDProject/portable.html)? En over welke versie van Opera hebben we het?

http://my.opera.com/community/forums/topic.dml?id=113953 lijkt jouw probleem exact te beschrijven. Als oplossing wordt voorgesteld om in Opera de 40 en 56 bit ciphers te disablen (Preferences->Security->Security Protocols).

Los van het Opera probleem: in die thread wordt ook gemeld dat de Rabobank uitsluitend SSL 2.0 zou ondersteunen. Dat kan ik helaas bevestigen. Zowel in MSIE als Firefox krijg ik geen verbinding op https://www.rabobank.nl/. Als ik in MSIE SSL 2.0 toesta lukt het wel. Zou encryptie up-to-date houden ook te duur en te lastig zijn voor sommige banken?

http://www.openssl.org/news/secadv_20051011.txt beschrijft een vulnerability in OpenSSL waarmee een "man-in-the-middle" het gebruik van SSL 2.0 zou kunnen forceren terwijl zowel client als server SSL 3.0 of TLS 1.0 ondersteunen. Over SSL 2.0 zegt de advisory daarna:
Zowel Mozilla http://www.mozillazine.org/talkback.html?article=7252 als Microsoft http://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx zijn van plan in toekomstige browsers SSL 2.0 (ook bekend als SSLv2) niet meer te ondersteunen.

Erik van Straten

Waar snif je dan? Op je eigen pc? Tsja, de verbinding is ge-encrypt, niet
de communicatie binnen je pc.

http://www.opera.com/products/mobile/operamini/
http://my.opera.com/community/mobile/operamini/
http://www.getjar.com/cgi/bt_web.cgi

In mijn geval betreft het een toestelspecifieke beta versie voor een "aangepaste" mobiele telefoon (firmware, software en sys.config).

http://my.opera.com/community/forums/topic.dml?id=88151

- Q -

Correctie:

mijn.postbank.nl met Opera security configuratie op:

ALLEEN SSL3 ingeschakeld en encryptielevel onder 128 bit uitgeschakeld brengt het beveiligingniveau op:
SSL v3.0 168 bit 3DES_EDE_CBC (1024 bit RSA/SHA)

Helaas voor alle Rabobank klanten, voor u werkt deze configuratie niet!. (Erik ;)

Opera:

Your communication with the server mijn.postbank.nl is
encrypted. Opera has classified the encryption as strong (3).

Met een standaard Opera configuratie blijft het encryptielevel als "slecht" aan te merken, communicatie op dat niveau zou vanaf de Postbank geweigerd moeten worden en zouden er alleen certificaten met een hoger encryptieniveau beschikbaar moeten zijn.

- Q -

Nog een (semi-)financiele website die geen sterke encryptie
ondersteunt: https://mijnfactuuronline.upc.nl

UPC vindt RC4 voldoende.

SSL v3.0 128 bit ARC4 (1024 bit RSA/SHA) om precies te zijn voor https://mijnfactuuronline.upc.nl/ IS een HOGE graad van beveiliging, zeker omdat er geen transacties over worden gedaan.

- Q -

hoi, als ik in wil loggen op mijnposbank.nl
geeft ie de volgende foutmelding: 'ssl alert
handshake failure'. (sonyericsson p900 -
opera 6.31 - gprs verbinding) beetje
jammer ...

Wanneer jullie meer willen weten over encryptie en authenticatie kijk dan
even op http://www.iir.nl/app/?navi=380&pid=1115

is volgens mij gratis voor eindgebruikers.