Yahoo beschermt gebruikers met geheime tekst en foto
Yahoo wil haar gebruikers op een nieuwe manier tegen phishing aanvallen beschermen. Om te voorkomen dat gebruikers hun Yahoo gegevens op een nagemaakte Yahoo site invullen is men een nieuwe oplossing aan het testen. Gebruikers moeten een tekst of afbeelding uploaden die tijdens het inloggen getoond wordt.
Krijgt men de afbeelding of tekst niet te zien, dan is het goed mogelijk dat men op een phishing site zit. Uit onderzoek blijkt dat veel gebruikers niet naar de URL kijken als ze op een website gegevens invullen.
Het Yahoo "sign-in seal" is gekoppeld aan een bepaalde computer. Gebruikers moeten het dan ook op elke PC installeren waar ze van Yahoo gebruik willen maken. Yahoo waarschuwt dat er redenen zijn dat het zegel op legitieme Yahoo login pagina's niet verschijnt. "Als bijvoorbeeld iemand anders achter je computer je zegel heeft verwijderd of gewijzigd. Ook als je cookies of bestanden op je computer verwijderd zijn of je partner een internationale Yahoo site gebruikt." De service werkt op dit moment alleen bij Amerikaanse Yahoo pagina's.
Ga naar http://login.yahoo.com/ en constateer dat
je daar je ID en je password kunt invullen. Daaronder staat
"Why this is secure".
Why is this not secure? Omdat je uitgenodigd wordt op
een http pagina, dus zonder dat d.m.v. een certificaat (via
SSL) de authenticiteit van de site met behoorlijke zekerheid
is vastgesteld, jouw login-ID en wachtwoord in te vullen. En
erger, omdat "Why this is secure" bij onwetende gebruikers
de indruk wekt dat het wel goed zit.
Door browser bugs of DNS spoofing kun je echter op een
andere site zitten, en er zijn blijkbaar nog steeds veel
mensen die niet goed naar de URL balk kijken (waar soms
lange en onbegrijpelijk URL's in staan). Zie
http://isc.sans.org/diary.php?storyid=1463 voor
een recent voorbeeld waarbij de URL wel duidelijk gespoofed
was, maar de pagina overtuigend overkwam. Dat Yahoo belooft
dat de gegevens die je hebt ingetikt via SSL worden
verstuurd helpt in dergelijke gevallen natuurlijk niets.
Saillant detail: "Mode: Standard | Secure", de
keuzemogelijkheid onder de "Sign In" button op Yahoo's login
page die daar al een tijd geleden verdwenen is, kwam nog
wel voor op de spoofed page (zie Sans).
Yahoo heeft al tijden een veilige pagina:
https://login.yahoo.com/. Yahoo zou de http
uitvoering daarvan moeten afschaffen (of in elk geval het
gebruik ervan moeten ontmoedigen door uit te leggen "Why
this is LESS secure"), en gebruikers zo moeten opvoeden dat
ze controleren of het certificaat daadwerkelijk van Yahoo is
alvorens ze hun login gegevens prijsgeven.
wat XSS die worden uitgevoerd als je je mail opent.
Maar toch is yahoo "beter" dan hotmail omdat je de wachtwoord van de
cookie eigenaar niet kunt veranderen of in zijn profiel kan komen (had het
getest met mn eigen accounts)
legitieme Yahoo login pagina's niet verschijnt.
kun je het net zo goed niet gebruiken. Inconsequentie is
voor mensen veel te verwarrend.
Je zou per gebruiker een individueel client-certificaat uit
kunnen vaardigen. Dan krijg je van je applicatie direct
klachten wanneer het stamcertificaat anders is.
Maar dat is voor Yahoo-gebruikers veel te ingewikkeld.
Bekijk het resultaat eens van:
Secure? :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
