Teveel banken gebruiken geen SSL-login formulier
De stelling dat Nederlandse banken te weinig tegen phishing scams doen blijkt ook voor buitenlandse banken op te gaan. Het Internet Storm Centrum komt met een interesssant verhaal over niet-versleutelde banksites. Het blijkt dat er banksites bestaan die hun homepages onversleuteld op het internet zetten, terwijl de login pagina ook op deze gewone homepages staan. Pas bij het inloggen (internetbankieren) wordt de informatie naar een ander internetadres versleuteld toegezonden via een SSL-verbinding.
Waarom dit een slecht ontwerp is, blijkt wel uit het feit dat bij een niet versleutelde homepage men ook niet weet om men met de echte bank "praat" en daarom dus niet weet of het inlogformulier ook echt, of zelfs gespooft is. Er zijn twee goede redenen om altijd een SSL-verbinding te gebruiken: ten eerste is de ingevoerde informatie versleuteld, de tweede reden is authenticatie.
Er blijken in toenemende mate steeds meer banken op het internet de gewoonte te krijgen een veilige methode te verruilen voor een onveilige methode: een gewone homepage, maar de loginpagina verstuurt de informatie na het invullen naar een internetadres waar wél een SSL-verbinding aanwezig is. Met een aantal handlers heeft het ISC een lijst samengesteld van onveilige banksites, die op deze pagina is te bekijken.
Ook hier geldt de stelling dat banksites meer moeten gaan doen om scams en spoofing van hun sites tegen te gaan en dat de gebruikers altijd worden aangeraden om onveilige sites niet te gebruiken voor het internetbankieren.
Met dank aan Peter V. voor het melden van dit nieuws
zeggen dat ze meerdere servers in dienst moeten nemen, meerdere
servers beveiligen en dus... meer geld kost...
en wat willen de banken doen? juist... geld verdienen, en niet meer
uitgeven
phishing scams doen blijkt ook voor buitenlandse banken op
te gaan.''
Vermeldt hier dan wel bij dat dit de stelling van de
redactie is. Nu wordt de indruk gewekt dat dit de algemene
maatschappelijke gedachte is, nogal kortzichtig.
Er wordt nergens gezegd dat dit een algemeen maatschappelijke
gedachte zou zijn. De lijst van het ISC is nog lang niet compleet (wordt wel
aan gewerkt). Het gaat hier over de zorg dat gebruikers moeten oppassen
met onbeveiligde verbindingen. Niet meer en niet minder.
gemaakt.
Servercertificaten zijn soms te klein, (fallback) ciphers te
zwak, fouten in certificate-chains e.d.
@Pipo
Er wordt nergens gezegd dat dit een algemeen maatschappelijke
gedachte zou zijn. De lijst van het ISC is nog lang niet
compleet (wordt wel
aan gewerkt). Het gaat hier over de zorg dat gebruikers
moeten oppassen
met onbeveiligde verbindingen. Niet meer en niet minder.
Lees dan de eerste zin van het artikel nog eens, ontleed
deze en vraag je dan nogmaals af wat er staat. Ik weet dat
Nederlands een moeilijke taal is maar leg nog eens de nadruk
op de woorden 'blijkt ook op te gaan'.
Bovendien beweer ik niet dat er iets gezegd is, er staat
WORDT DE INDRUK GEWEKT. Ook dat betekend iets anders.
En die zorg is me duidelijk, dat hoef je me niet uit te leggen.
tja... SSL verbinding is zwaarder voor de servers van de banken, wat wil zeggen dat ze meerdere servers in dienst moeten nemen, meerdere servers beveiligen en dus... meer geld kost...en wat willen de banken doen? juist... geld verdienen, en niet meer uitgeven
Een veel voorkomende opzet is een reverse proxy met SSL accelerator. Deze filtert, op laag 7, de binnenkomende requests en stuurt deze vervolgens, middels het "normale" HTTP, door naar de uiteindelijke webserver. Voordeel hierbij is dat de webserver niet aangepast hoeft te worden en kan doen waar die voor is: webpagina's ophoesten. En een bijkomend voordeel is dat je op de verbinding tussen de reverse proxy en de webserver ook nog eens een IDS kunt plaatsen (waar je dan daadwerkelijk wat aan hebt, SSL verkeer is een beetje lastig te IDS'en).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?