Firefox beschermt gebruikers tegen MiTM-aanvallen
Mozilla werkt aan een nieuwe optie in Firefox die moet voorkomen dat criminelen vertrouwelijke inloggegevens kunnen onderscheppen. Overal is het vandaag de dag mogelijk om te internetten, denk aan cafés, bibliotheken en vliegvelden. Dit soort open hot spots zijn interessant voor criminelen. Een aanvaller zou het netwerkverkeer via zijn eigen machine kunnen laten lopen, de zogeheten Man-in-the Middle aanval. Veel gebruikers letten bij het inloggen op hun online bankrekening niet op of dit via HTTP of HTTPS gebeurt
In sommige gevallen is de banksite alleen via HTTP benaderbaar en gebeurt het inloggen pas over HTTPS. En het geldt niet voor internetbankieren, ook het inloggen op de webmail en andere sites is voor velen een automatisme, wat de kans op een succesvolle MiTM-aanval doet toenemen. Mozilla wil daarom het gebruik van HTTPS forceren. Vorig jaar kwamen Collin Jackson en Adam Barth al met een oplossing voor dit probleem, genaamd "ForceHTTPS". Via de uitbreiding kunnen websites de browser dwingen om de site alleen via HTTPS op te vragen. De twee onderzoekers wilden zo het redirecten van HTTP naar HTTPS voorkomen, om de kans op een MiTM-aanval te verkleinen.
Goed idee
Het team van Mozilla vond ForceHTTPS zo'n goed idee, dat het nu aan een eigen prototype werkt. In eerste instantie gaat het nog om een add-on. In plaats van cookies, wil Mozilla dat sites een HTTP-header versturen om TLS te verplichten. "ForceTLS is voor meer dan alleen bescherming tegen kwaadaardige hotspots te gebruiken, het kan ook webapplicaties tegen ongewenste onversleutelde requests beschermen", zegt Sid Stamm, Mozilla's 'Securinator'. Firefox-gebruikers die het prototype willen testen kunnen die via Mozilla.org downloaden.
Leuk hoor van Mozilla, dit wil ik absoluut eerst zien, dan geloof ik het pas.
Grt,
Rolf
Bijv. Rabobank internetbankieren gaat via https://bankieren.rabobank.nl/ en op http://bankieren.rabobank.nl/ wordt geen verbinding geaccepteerd.
Bijv. Paypal gaat via https://www.paypal.com/ en accepteert wel een verbinding op http://www.paypal.com/, maar stuurt deze direct door naar https://www.paypal.com/
Het enige probleem met het laatste voorbeeld is dat een request op http://www.paypal.com/ wel geaccepteerd wordt en er dus clear text data verzonden kan worden. Paypal is dus afhankelijk van de partners om de juiste https:// url te gebruiken.
Als browsers in eerste instantie https:// zouden proberen en alleen als ze daarop geen response krijgen terugvallen naar http:// dan zou dit probleem al grotendeels opgelost zijn.
http://blog.security4all.be/2008/10/use-noscript-to-force-websites-to-ssl.html
Ik denk dat het een goede zet is van FF om deze optie aan te bieden, liefst standaard enabled. Met de toename van internet anywhere zijn er steeds meer potentiele slachtoffers die van beveiliging geen kaas hebben gegeten.
Ik vraag me af hoe dit in de browser afgevangen gaat worden. Als er default https wordt gebruikt krijgt de gebruiker alleen maar error meldingen.
Marco
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
