Firefox plugin beschermt tegen valse SSL-certificaten
Het kraken van SSL-certificaten is bij de beveiligingsgemeenschap als een bom ingeslagen, niet alleen vanwege de consequenties, maar ook omdat de certificaat uitgevers ondanks allerlei onderzoeken toch een kwetsbare technologie bleven gebruiken. Door het gisteren gepresenteerde onderzoek is het doen van internet transacties een kwestie van blind vertrouwen geworden, aldus Giorgio Maone, de ontwikkelaar van de NoScript Firefox plugin. Hij vindt dat er een verbod op het gebruik van MD5 voor certificaten moet komen, zowel bij browserontwikkelaars als Certificate Authorities.
Het enige dat eindgebruikers kunnen doen is letten op onverwachte veranderingen in het SSL-certificaat van sites waar men meestal zaken mee doet, en ook dat is niet eenvoudig, gaat Maone verder. Het probleem is dat een browser hiervoor niet waarschuwt, zoals bijvoorbeeld een SSH client wel doet.
Plugin
Voor Firefox gebruikers is er een oplossing beschikbaar in de vorm van de Perspectives plugin. Die is namelijk in staat om de geldigheid van een certificaat vanaf verschillende plekken op het internet te controleren. Ook al maakt de gebruiker met een nepsite verbinding, de andere nodes zullen wel met de geldige site verbinding maken, waardoor de discrepantie aan het licht komt. Voordat Perspectives dit doet moet de gebruiker een aantal instellingen wijzigen, aldus de uitleg van Maone.
Man-in-the-Middle aanvallen
Volgens informaticastudent Dan Wendlandt, die aan de plugin meewerkte, zorgt het groeiend aantal draadloze verbindingen ervoor dat Man-in-the-middle-aanvallen een serieus risico worden. "Het is zeer eenvoudig voor iemand om bij een publieke WiFi-verbinding al het netwerkverkeer via zijn computer te laten lopen. Veel mensen zouden niet eens weten dat ze zijn aangevallen." Heeft een aanvaller dit voor elkaar, dan kan hij eenvoudig wachtwoorden en andere vertrouwelijke informatie sniffen.
Nu gebruiken belangrijke websites vaak SSL, maar een foutmelding over het certificaat wordt vaak genegeerd. "De meeste mensen hebben geen idee wat ze in zo'n geval moeten doen. Veel negeren ze gewoon en gaan door met verbinden, wat ze kwetsbaar maakt voor aanvallen."
werkt lekker..
Heren ...
ik peet1 wil u en de uwen graag een prettige voortzetting wensen in 2009.. van deze site..
niet zozeer omdat u en de uwen...het lachen vergaat aangaande de reacties....neen..neen
veeleer..op grond van het feit dat u een platform biedt waar er mensen naar toe komen en
kennis vergaren omtrent dingen waarvan ze nooit eerder hebben gehoord ...Ik ben er zo een!!
Jongens...ga zo voort...en in the end zullen mensen begrijpen...wat het betekent..om anderen
deelachtig te maken met wat je weet.....
Een voorspoedig 2009 voor het hele team van SECURITY.NL
Peet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!