Computerbeveiliging - Hoe je bad guys buiten de deur houdt

G DATA: veilige http-verbinding ??

06-02-2009, 21:13 door Spiff has left the building, 12 reacties
Toen ik recent inlogde op m'n pc, kreeg ik een G DATA pop-up, met het aanbod mijn licentie te vernieuwen.
Prima, dat zat er inderdaad aan te komen.

Ik klikte "bestellen", om mijn licentie te vernieuwen, maar zag vervolgens dat de de "renew"-mogelijkheid via een gewone http-verbinding liep, i.p.v. via een https-verbinding.
En ik ga toch werkelijk geen creditcard-gegevens verzenden via onbeveiligd http.


Bij telefonische navraag bij het G DATA ServiceCenter werd me verzekerd dat dit werkelijk een veilige verbinding zou betreffen.
Vrij merkwaardig, vond ik.

Maar goed, gelukkig werd ook netjes een andere mogelijkheid voor het vernieuwen van de licentie geboden, namelijk per e-mail, met betaling na toezending van een nota.


Vergiste het G DATA ServiceCenter zich, met die bewering over een beveiligde http-verbinding? (Zo ja, dat zou dan wel slordig zijn.)
Of bestaat er wérkelijk zoiets als een beveiligde http-verbinding?

Graag jullie inzichten en mening.


UPDATE
door Spiff,
als aanvulling op het bovenstaande
:

Op 18-2-2009 heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.

G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."


Een keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
Reacties (12)
06-02-2009, 21:33 door [Account Verwijderd]
[Verwijderd]
07-02-2009, 23:45 door Anoniem
Of de userinput moet worden gehashed, maar dan is het nog niet beveiligt, andere mogelijkheid is dat ze een iframe gebruiken gedeelte voor creditcard HTTPS en de rest HTTP
08-02-2009, 18:14 door Spiff has left the building
aan Anoniem 7-2-09, 23:45

Het zag er uit als een standaardformulier via http, er was niets dat er op wees dat de creditcard-gegevens niet via onbeveiligd http verstuurd zouden worden.
Maar ik kan me vergissen.
Want de G DATA technici zullen toch vast niet zo slordig zijn gevoelige gegevens via een onbeveiligde http-verbinding te laten lopen?
Ik zal G DATA support binnenkort eens een mailtje sturen om te vragen wat ze nu precies bedoelden, met de verzekering per telefoon dat het een "veilige verbinding" zou betreffen.
11-02-2009, 09:43 door Anoniem
Om het zeker te weten zou je de broncode van de pagina moeten bekijken. Ik maak uit je posting op dat het invulformulier niet via https is verstuurd maar gewoon via http. Strikt genomen kan dat wel op deze manier - als de ingevulde resultaten maar veilig worden verstuurd. Als bijv. in het invulformulier staat: <form action="https://...."> dan betekent dat dat je ingevulde gegevens WEL via https verstuurd zullen gaan worden.

Als de sitemakers 't zo hebben gemaakt, is 't op z'n minst slordig. Technisch gezien wel ok, maar geeft niet veel vertrouwen.

Overigens, 't kan ook omgekeerd, wat veel erger zou zijn: je invulformulier wordt via https ontvangen, maar daar in staat <form action="http://..."> zodat de resultaten blanko worden verstuurd. Bij versturen zou je browser vermoedelijk gaan klagen (hoop ik althans) omdat je een beveiligde pagina verlaat.
11-02-2009, 14:38 door Anoniem
Ik neem aan dat de andere mogelijkheid, 'per e-mail', gaat om het ontvangen van een factuur en vervolgens via standaard internetbankieren betalen? Creditcardgegevens per e-mail versturen lijkt me namelijk niet echt wijs...
11-02-2009, 15:45 door Spiff has left the building
aan Anoniem 11-2-09, 9:43

Hee, dankjewel.
Ik heb het net even gecheckt in de broncode:

De enige vermelding met form action is het volgende:
<form action="/portal/NL/renew/432/submit/" method="post">

De enige vermelding met https is het volgende:
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");

Verder slechts http-aanduidingen.

Ik zal zo meteen G DATA eens om opheldering gaan vragen.
11-02-2009, 15:46 door Spiff has left the building
aan Anoniem 11-2-09, 14:38

Ja hoor, wees gerust,
die andere mogelijkheid voor het vernieuwen van de licentie, per e-mail, met betaling na toezending van een nota,
dat betreft betaling na ontvangst van de nota, d.m.v. een bankoverschrijving.
Per e-mail werd slechts de transactie in gang gezet.
Creditcard-gegevens versturen per e-mail zou inderdaad bepaald niet wijs zijn.
11-02-2009, 17:04 door Anoniem
Ik kan in elk geval niets vreemds vaststellen: als je probeert een product te bestellen, kom je vanaf stap 2 ("Naar Kassa") in een https-omgeving.
11-02-2009, 19:19 door Spiff has left the building
aan Anoniem 11-2-09, 17:04

Dat bestellen van een product, bedoelde je daarmee het bestellen via de G DATA site?
Ik bedoel iets heel anders, zoals ik ook schreef in mijn startbericht van dit topic:
Toen ik onlangs inlogde op m'n pc, kreeg ik een G DATA InternetSecurity pop-up, met de vermelding dat m'n licentie binenkort zou verlopen, en met het aanbod mijn licentie te vernieuwen.
Ik klikte vervolgens "bestellen", om mijn licentie te vernieuwen,
en kwam na een inlog-pagina op de checkout-pagina voor het verlengen van de licentie.
Deze checkout-pagina waar persoonlijke gegevens en creditcard-informatie ingevuld zouden moeten worden was/is een gewone http-pagina. Na klikken op "Submit" zouden de gegevens mijns inziens onbeveiligd verzonden worden, geen enkele aanleiding om te vermoeden dat eerst nog eens omgeschakeld zou worden naar een https-pagina, want dan zouden dáár de creditcard- en andere gegevens wel ingevuld moeten worden, niet eerst op een http-pagina.

Ik kan me voorstellen dat dat aanbieden van die verleng-optie via een onbeveiligde verbinding een fout was. G DATA is de laatste flink aan het sleutelen geweest aan de site (en nog steeds, als ik me niet vergis), dus het zou kunnen dat er iets niet helemaal liep zoals het zou moeten. Wat natuurlijk niet is hoe het hoort, maar wat kan gebeuren. Ik hoop dat het probleem dan inmiddels verholpen is.
Ik ben benieuwd naar de reactie van G DATA support op mijn mail van vanmiddag met mijn verzoek om uitleg.
18-02-2009, 17:11 door Spiff has left the building
Als vervolg op het bovenstaande:

Vandaag heb ik een antwoord ontvangen van G DATA,
als reactie op mijn verzoek om uitleg.

G DATA antwoordde:
"Zoals u al gemerkt had, zijn er belangrijke wijzigingen aan de G DATA website gebeurd de afgelopen weken. Dat is ook het geval bij de achterliggende administratie en dus ook bij de afhandeling van de licentieverlengingen. (Het is me niet duidelijk wat de oorzaak is van de http/https problemen die u aanhaalt, maar het is uiteraard nooit de bedoeling om gebruik te maken van onbeveiligde verbindingen. In elk geval heb ik al uw opmerkingen doorgegeven aan het web development team, maar wellicht is alles inmiddels opgelost met de nieuwe versie van de website en administratie en de bugfixes daarvan)."


Een bijzonder keurige reactie, in ieder geval.
Ik hoop dat het betreffende probleem inmiddels is opgelost, of anders zo spoedig mogelijk wordt opgelost.
19-02-2009, 02:00 door Paultje
Eerste regel: je moet NOOIT je financiële gegevens (creditcard gegevens) over HTTP sturen.
Tweede regel: maak liever gebruik van Ideal. Je logt dan in via je eigen bank. Voordeel: je hebt geen creditcard nodig.
19-02-2009, 16:37 door Spiff has left the building
Dankjewel, Paultje.
Goed advies voor iedereen.
Maar ik neem aan dat je uit het bovenstaande wel begrepen had dat ik die creditcard-gegevens nu juist ook per se niet via http wilde versturen? Het probleem was dat er een http-verbinding werd aangeboden in plaats van een https-verbinding. Mogelijk was de oorzaak daarvan een bug in de structuur van de G DATA website.

En verder, ja Ideal is leuk, maar die mogelijkheid werd me niet aangeboden op de pagina waarmee ik mijn licentie kon vernieuwen. Ook andere betaalmogelijkheden werden niet aangeboden, alleen creditcard, en dit alleen via http.
Blijkbaar was er iets helemaal niet goed gegaan met het doorlinken naar de juiste pagina.
Zoals ik al zei, ik hoop dat het probleem inmiddels is opgelost, of anders zo gauw mogelijk wordt opgelost door de G DATA technici.

Voor alle duidelijkheid nog eens:
buiten die betaalpagina om, via het G DATA ServiceCenter, werd me een andere, veilige betaalmogelijkheid geboden.
Dus dat komt goed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.