Archief - De topics van lang geleden

SSL alleen nodig bij versturen betalingsgegevens

19-11-2007, 17:17 door Redactie, 27 reacties

Een anonieme lezer had het volgende te melden:

Vandaag kwam een aanbieder van SSL certificaten met het nieuws dat veel webwinkels de gegevens van hun klanten niet versleutelen. De betalingstransactie zelf, het belangrijkste onderdeel, is niet in gevaar, want die verzorgt iDEAL. Natuurlijk is het versleutelen van gegevens zoals wachtwoorden en logins belangrijk, maar het is onzinnig om alles maar te versleutelen.

Adresgegevens zijn tenslotte overal te vinden en wat betreft het achterhalen van gekochte spullen, zodat inbrekers ze uit woningen of bedrijven kunnen ontvreemden, kan het dievengilde net zo goed voor de elektronicawinkel wachten of op straat naar grote kartonnen dozen kijken. Toch zie je mensen daar geen enkele moeite doen om hun aankoop te verhullen.

De stelling is daarom deze week: "SSL is alleen nodig wanneer betalingsgegevens zoals creditcardgegevens worden verzonden. Het is niet nodig wanneer je alleen adresgegevens verstuurt met eventueel een bank- of gironummer."

Reacties (27)
19-11-2007, 17:30 door Anoniem
Wij hebben bezwaar tegen uitdrukkingen als 100% Secure
19-11-2007, 17:41 door SirDice
Niet alles hoeft over SSL inderdaad. Maar als je op een site komt die (SSL) beveiligde en onbeveiligde gegevens mixt in 1 pagina word je ook niet vrolijk. Dan maar gewoon heel de site over die SSL verbinding. Een beetje bedrijf off-load dit toch naar een SSL-accelerator.
19-11-2007, 19:09 door Anoniem
Door SirDice
Niet alles hoeft over SSL inderdaad. Maar als je op een site
komt die (SSL) beveiligde en onbeveiligde gegevens mixt in 1
pagina word je ook niet vrolijk. Dan maar gewoon heel de
site over die SSL verbinding. Een beetje bedrijf off-load
dit toch naar een SSL-accelerator.

Helemaal met je eens. Alles SSL of niks.

Vooral irritant als de laatste pagina een html-form is,
waardoor niet in de status balk te zien is of de submit over
https of http gaat.
19-11-2007, 19:15 door Anoniem
Ach ja, natuurlijk. We steken ons kop gewoon in het zand dat
er ook nog mensen zijn die wel van hun recht gebruik wensen
te maken dat hun persoonlijke gegevens alleen gedeeld worden
met partijen die ze zelf bepalen.

Kom op zeg, als we om dit soort slappe redenen al anderen
het recht gaan ontnemen om over hun persoonlijke gegevens
controle te houden heb je bagger weinig respect voor anderen.
19-11-2007, 20:29 door Anoniem
Mits goed het certificaat gezien te hebben.....schijt een
een beer in het bos ???
19-11-2007, 20:48 door Malware
Ik snap niet dat we niet gewoon alles over SSL doen.
Makkelijk en veilig.
19-11-2007, 22:28 door ctrlaltdelete
Volledig eens met de stelling.
19-11-2007, 22:29 door Anoniem
Door MalwareIk snap niet dat we niet gewoon
alles over SSL doen. Makkelijk en veilig.
Het zou wel veiliger zijn. Maar helaas zitten we ook met een
kip-ei situatie. Het certificatensysteem zit namelijk op
slot met geld. Een meneer Mark Shuttleworth van Ubuntu is
daar ooit eens multi-miljonair mee geworden. Door zijn
bedrijfje voor een halfmiljard dollar te verkopen aan een
concurent, zodat er nog minder concurentie is. Vervolgens
vragen ze honderden euro's voor een ondertekening dat een
certificaat van iemand is. Werk van nog geen 5 minuten. In
10 jaar tijd zit de boel al zo op slot dat er maar een paar
projectjes gestart zijn in de hoop dat te kunnen doorbreken.
Vertrouwen werkt namelijk niet op basis van geld. Dat geld
kan je ook gebruiken om onbetrouwbaarheid te krijgen. Helaas
krijgen geen voet aan de grond omdat het een groot cartel is
waar miljarden in omgaan.
20-11-2007, 00:06 door [Account Verwijderd]
[Verwijderd]
20-11-2007, 01:02 door DragonBe
Ik heb zelf de proef op de som genomen door met een
networksniffer de trafiek van een bepaalde website te volgen
die niet beveiligd was. Naast alle data die in clear-text
verstuurd werd naar de website, kon ik zelfs de SQL
statements volgen die de webserver vervolgens maakte naar de
database. Test het zelf maar.

LET WEL: het was een website gehost bij dezelfde provider
waar ik shell-account had waardoor ik dit kon testen.

In theorie zou je alle transacties die bepaalde gegevens
verwerkt over een SSL laag moeten gooien. Dit geldt voor
login-gegevens, betalingsgegevens en voor
productaanpassingen waarbij een abonnementsvorm geldt.
20-11-2007, 01:26 door Skizmo
Wanneer houden we nou eens op met de kop in het zand te
steken, en gaan we encryptie op alles toepassen ??

//oftopic
... networksniffer de trafiek van ...
En hou ook eens op met de nederlandse taal te verkrachten
door dit soort engelse woorden te vernederlandsen. Of engels
(traffic), of nederlands (verkeer).
20-11-2007, 07:19 door Anoniem
Ten eerste lijkt het me wel zo netjes om in principe de
gehele verbinding te versleutelen. Misschien is het niet
strikt noodzakelijk om alles te versleutelen, maar wat zijn
dan de inhoudelijke argumenten om dit niet te doen, behalve
vertellen aan je klant dat je een deel van zijn of haar
gegevens niet erg vertrouwelijk/boeiend vindt ?

Naast de veiligheid heb je ook nog een stuk
marketing/consumentenvertrouwen. Indien klanten zien dat je
goed met de gegevens om gaat, dan zullen ze minder snel
geneigd zijn om naar een concurrent te gaan die het in hun
optiek beter heeft geregeld. Wat is de zin van een stelling
als deze, immers heeft het niet versleutelen van
adresgegevens, bestelgegevens e.d. voor niemand toch enige
meerwaarde ?

Volgende stelling: WEP is meer dan voldoende beveiliging bij
draadloze verbindingen; immers is de kans dat er een hacker
binnen het dekkingsgebied van je wireless access point woont
die je beveiliging zal kunnen/gaan hacken vrij klein ?
20-11-2007, 08:48 door Anoniem
Ik heb mijn eigen Email service, ik had toen SSL uit staan waardoor binnen
24 uur mijn email server gehackt was omdat ze het wachtwoord konden
decrypten, nu heb ik de sterkste SSL encryptie geinstalleert en heb
nergens meer last van. Dus ben oneens met de stelling (laat de hele
wereld maar over SSL lopen)
20-11-2007, 08:54 door Anoniem
@Skizmo FYI:
DragonBe is waarschijnlijk een zuiderbuur en daardoor geen
Nederlands maar Vlaams.
20-11-2007, 09:01 door Anoniem
trafiek is belgies
20-11-2007, 09:08 door pikah
Door DragonBe
Ik heb zelf de proef op de som genomen door met een
networksniffer de trafiek van een bepaalde website te volgen
die niet beveiligd was. Naast alle data die in clear-text
verstuurd werd naar de website, kon ik zelfs de SQL
statements volgen die de webserver vervolgens maakte naar de
database. Test het zelf maar.
Logisch dat je je SQL queries voorbij ziet komen als je
sniffed op de plek waar de webserver draait. Ik kan me
alleen niet voorstellen dat je deze over het HTTP protocol
voorbij heb zien komen, zo wel moet je toch maar eens
nadenken over de implementatie van je website.

Ik vind dat gegevens als login/wachtwoord altijd met SSL
beveiligd moeten worden, inclusief persoonsgegevens, of ze
nu ergens anders te vinden zijn of niet, het is een stukje
dienst naar de 'klant'.
20-11-2007, 09:10 door Anoniem
Skizmo: 'trafiek' is vlaams. Misschien eerst even nadenken
voordat je zulke hoogdravende reacties plaatst.

Ontopic: Ik zie niet in waarom je niet gewoon alles over SSL
zou doen; de performance-issues zijn prima op te lossen met
wat hardware. Als je kunt kiezen tussen een oplossing
waarvan je weet dat het de veiligheid vergroot en eentje
waarvan je weet dat het de veiligheid verlaagd, waarom zou
je dan voor de laatste kiezen? Alleen vanwege extra kosten
die het gebruik van SSL met zich mee brengen; aangezien
kosten niet zozeer in hardware gaan zitten, zou dat geen
issue moeten zijn.
20-11-2007, 09:11 door SirDice
Trafiek is Belgisch ;)

Wat ik bij het vorige artikel over SSL ook al riep: Ook al
is de site met SSL beveiligd, dan nog moet men niet vergeten
de webapplicatie zelf te controleren op gebreken (sql
injectie, XSS etc). SSL beveiligd je niet tegen een lekke
applicatie het voorkomt alleen dat iemand jouw sessie kan
afluisteren.
20-11-2007, 09:17 door Anoniem
@Skizmo
Naast dat trafiek in het Vlaams redelijk gebruikelijk is,
zul je ' versleuteling' bedoelen in plaats van 'encryptie'!
Kortom iets met balken oog en splinters...
20-11-2007, 09:38 door raboof
Natuurlijk wil je ook het uitwisselen van adresgegevens e.d.
wel over SSL laten gebeuren: anders kan een MITM ervoor
zorgen dat met jouw netjes beveiligde betaling een heel
ander product wordt gekocht en verstuurd naar een heel ander
adres. Lijkt me niet wenselijk.

Een SSL-servercertificaat kopen en installeren is echt een
fluitje van een cent, en voor de performance hoef je het
tegenwoordig ook allang niet meer te laten. Doen dus -
hoewel de opmerking van SirDice natuurlijk ook terecht is:
je moet er ook weer geen magische
instant-100%-security-krachten van verwachten.
20-11-2007, 10:58 door Anoniem
Door Anoniem
Ik heb mijn eigen Email service, ik had toen SSL uit staan waardoor
binnen
24 uur mijn email server gehackt was omdat ze het wachtwoord konden
decrypten, nu heb ik de sterkste SSL encryptie geinstalleert en heb
nergens meer last van. Dus ben oneens met de stelling (laat de hele
wereld maar over SSL lopen)
Een eerdere schrijver geeft aan dat er miljoenen mee wordt verdiend.
Betaal je er voor? En hoe stel je SSL in?
20-11-2007, 12:49 door Anoniem
Wat een berg aan zorgverzekeraars blijkt ook geen sier te
geven om versleutelen van de persoonsgegevens bij hun
klantenservice. Onvoorstelbaar slecht.
20-11-2007, 15:21 door wimbo
Certificaatje heb je voor een paar euro per jaar (vanaf een
euro of 30). Er is tegenwoordig geen ENKELE geldige reden
te verzinnen dat je het niet zou moeten gebruiken (afgezien
van pure onkunde van de site beheerders). Mogelijke
performance issues is met de huidige hardware al redelijk
achterhaald.
20-11-2007, 19:05 door Anoniem
Ik zou graag zien, dat de bestelde goederen op mij eigen adres afgeleverd
worden, en niet op het adres van een crimineel, die de onbeveiligede
adresgegevens weet te onderschappen. Liever de hele bestelling via SSL
dus.
21-11-2007, 11:04 door Anoniem
"zul je ' versleuteling' bedoelen in plaats van 'encryptie'!"

Hebben we hier te maken met de taal-Taliban ofzo. Encryptie is overigens
een Nederlands woord (Engels: Encryption).

en·cryp·tie (de ~ (v.))
1 cryptografie, codering van informatie
21-11-2007, 11:06 door Anoniem
Stelling:

Het volgen van bovenstaande stelling, en het moedwillig niet versleutelen
van privacy-gevoelige informatie moedigt identiteitsfraude aan. Indien je
bewust besluit als ondernemer om klantgegevens onversleuteld te
versturen, maak je jezelf moreel medeschuldig indien de informatie
onderschept en misbruikt wordt.
22-11-2007, 11:47 door SirDice
Door Anoniem
Ik heb mijn eigen Email service, ik had toen SSL uit staan waardoor binnen 24 uur mijn email server gehackt was omdat ze het wachtwoord konden ecrypten, nu heb ik de sterkste SSL encryptie geinstalleert heb en nergens meer last van.
Gebruik je dan nu client certificaten? SMTP/POP3/IMAP versleutelen het wachtwoord niet, dat gaat clear-text over het Internet, er hoeft dus niets "decrypted" te worden. Als men het wachtwoord kon "decrypten" zijn ze dus via een andere manier in je server gekomen (dat is de enige plek waar de wachtwoorden encrypt zijn). Wel of geen SSL heeft hier totaal niets mee te maken. Als je wel SSL gebruikt maar geen client certificaten kan je wachtwoord evengoed nog ge-brute-forced worden. SSL verandert daat helemaal niets aan. Je zal wel gewoon een te simpel wachtwoord hebben gebruikt. Ik vermoed dat je er nu geen "last" meer van hebt omdat SSL SMTP / SSL IMAP etc op andere poorten draaien. Daardoor zul je niet zo snel het slachtoffer worden van scanners die zoeken naar de "standaard" poorten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.