"Alleen idioten gebruiken Hotmail"
Wie gratis e-maildiensten gebruikt die geen encryptie toepassen, zoals Hotmail en Yahoo Mail, is een idioot, aldus een bekende beveiligingsonderzoeker. Volgens Robert Graham toont de Firesheep Firefox-plugin, waarmee het kinderspel is om Twitter en Facebookprofielen over te nemen, het belang van encryptie aan. "Hoe lang zullen providers zoals Hotmail (MSN Live) en Yahoo geen encryptie aan hun e-mailproducten toevoegen. Zonder dollen, als je nog steeds de gratis versies van Hotmail of Yahoo Mail gebruikt, ben je een idioot."
In tegenstelling tot wat andere security professionals beweren, stelt Graham dat SSL niet 'gratis' is. "Ik weet dat het de kosten om een service aan te bieden verhoogt. Ik begrijp dat het instabieler is dan we graag toegeven, bijvoorbeeld bij satelliet internetproviders. Toch zijn deze kosten veel lager dan de voordelen van SSL versleuteling van verbindingen."
Graham denkt dat met de "Wall of Sheep" tijdens de DefCon hackerconferentie volgend jaar, geen wachtwoorden maar foto's van Twitter en Facebookprofielen worden getoond.
Reacties (27)
28-10-2010, 11:45 door
Mysterio
Bij Hotmail leest misschien de buurman mee, met Gmail leest zeker weten Google mee. ;-)
Beetje overtrokken, aangezien zowel Yahoo als Hotmail de login wel degelijk over SSL stuurt, deze zijn dus niet te onderscheppen. De mails zelf daarentegen wel..
28-10-2010, 11:55 door
Dennixx
Door Mysterio: Bij Hotmail leest misschien de buurman mee, met Gmail leest zeker weten Google mee. ;-)
Toch vertrouw ik Google *iets* meer dan Microsoft...Het kan misschien aan mij liggen, maar als ik inlog bij hotmal wordt alles gewoon netjes via SSL gedaan.
Men zit weer van alles af te schieten zonder eerst eens goed te kijken.
Men zit weer van alles af te schieten zonder eerst eens goed te kijken.
28-10-2010, 12:13 door
cjkos
Door Dennixx:
Door Mysterio: Bij Hotmail leest misschien de buurman mee, met Gmail leest zeker weten Google mee. ;-)
Toch vertrouw ik Google *iets* meer dan Microsoft...Bij Google weet je het zeker, bij Microsoft weet je het niet zeker natuurlijk, bedoel je?.
Door Dennixx:
Door Mysterio: Bij Hotmail leest misschien de buurman mee, met Gmail leest zeker weten Google mee. ;-)
Toch vertrouw ik Google *iets* meer dan Microsoft...Het gaat hier niet om het vertrouwen van Google, Microsoft of welke provider ook. Gebruiik van niet encrypte mail houdt in, dat iedereen op hetzelfde netwerk, met de juiste software, alle inhoud kan lezen. Dat is iets wat je wilt voorkomen. Wanneer alleen de providers die mogelijkheid hebben, is nog te traceren waar iets lekt. Kan de hele wereld erbiuj, kom je er nooit achter....
Door Mysterio: Bij Hotmail leest misschien de buurman mee, met Gmail leest zeker weten Google mee. ;-)
Ik heb liever dat Google mijn mailtjes leest dan dat ze bij de volgende hackerconferentie aan de muur hangen :-)
HTTPS usage example - https hotmail
When signing into Hotmail, there is a separate link entitled ‘Sign in using enhanced security’ - https hotmail. On clicking this link notice the address in your browser change from the http protocol to the SSL https. This will give you extra security on signing into https hotmail.
In addition to the https in the browser address window, look for the SSL lock, indicated in the taskbar in Internet Explorer and in the address box and task bar in Firefox.
of Force SSL/TLS addon gebruiker van Firefox
When signing into Hotmail, there is a separate link entitled ‘Sign in using enhanced security’ - https hotmail. On clicking this link notice the address in your browser change from the http protocol to the SSL https. This will give you extra security on signing into https hotmail.
In addition to the https in the browser address window, look for the SSL lock, indicated in the taskbar in Internet Explorer and in the address box and task bar in Firefox.
of Force SSL/TLS addon gebruiker van Firefox
28-10-2010, 12:24 door
Mysterio
Wat ik zeker weet is dat Google een handelaar in informatie is. Van Microsoft hoop ik dat ze graag bijhouden hoe vaak iets wordt gebruikt en wanneer, niet zozeer de inhoud van de informatie.
Door Mysterio: Wat ik zeker weet is dat Google een handelaar in informatie is. Van Microsoft hoop ik dat ze graag bijhouden hoe vaak iets wordt gebruikt en wanneer, niet zozeer de inhoud van de informatie.
http://www.security.nl/artikel/32548/Microsoft_sluit_klokkenluidersite_Cryptome.html
Het is allemaal wel lief en aardig dat het kan, maar Tele2 waar ik dus klant ben ondersteund geen ssl op de mailserver.
Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
Door Anoniem: Het is allemaal wel lief en aardig dat het kan, maar Tele2 waar ik dus klant ben ondersteund geen ssl op de mailserver.
Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
Die e-mail haal je 9/10 keer op vanaf thuis, waar je een directe verbinding heb met jouw ISP, en dan gaat jouw mail niet over het grote boze internet.Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
Door Anoniem: Het is allemaal wel lief en aardig dat het kan, maar Tele2 waar ik dus klant ben ondersteund geen ssl op de mailserver.
Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
Dan gebruik je hun mail toch niet.Wel zit de ondersteunig ervan in Thunderbird,maar ja die die kan ik niet aanvinken omdat ik anders mijn mail niet kan ophalen.
28-10-2010, 16:44 door
SirDice
Klaarblijkelijk ben ik een idioot want ik gebruik wel degelijk hotmail. Al moet ik toegeven dat ik m'n hotmail account alleen gebruik voor luizige website registraties.
28-10-2010, 17:03 door
Dev_Null
Google vrs. Microsoft
Twee zogenaamd tegenstanders voorhet publiek, terwijl achter de schermen ze allebei een ingang verschaffen ib je gegevens,computer inline diensten aan iedereen die ervoor betalen wil. Het is 1 pot met, met 2 verschillende smoeltjes :-)
Als je je data echt veilig wilt hebben, bewaar het OFF-LINE in een fysieke DATA KLUIS.
De rest van de security online is een hoax !
Twee zogenaamd tegenstanders voorhet publiek, terwijl achter de schermen ze allebei een ingang verschaffen ib je gegevens,computer inline diensten aan iedereen die ervoor betalen wil. Het is 1 pot met, met 2 verschillende smoeltjes :-)
Als je je data echt veilig wilt hebben, bewaar het OFF-LINE in een fysieke DATA KLUIS.
De rest van de security online is een hoax !
Al je mail kan wel ergens onderweg gelezen worden, de enige oplossing is PGP/GPG of een dergelijk programma, zolang bij hotmail en yahoo het inloggen maar via ssl wordt gedaan maakt het verder weinig uit.
Door Anoniem: HTTPS usage example - https hotmail
When signing into Hotmail, there is a separate link entitled ‘Sign in using enhanced security’ - https hotmail. On clicking this link notice the address in your browser change from the http protocol to the SSL https. This will give you extra security on signing into https hotmail.
When signing into Hotmail, there is a separate link entitled ‘Sign in using enhanced security’ - https hotmail. On clicking this link notice the address in your browser change from the http protocol to the SSL https. This will give you extra security on signing into https hotmail.
Bizar. Wat weerhoudt ze ervan om domweg iedereen naar de SSL-signin te redirecten? Da's voor iedereen een verbetering, en niemand zal er negatieve gevolgen van ondervinden.
29-10-2010, 07:56 door
WhizzMan
Die e-mail haal je 9/10 keer op vanaf thuis, waar je een directe verbinding heb met jouw ISP, en dan gaat jouw mail niet over het grote boze internet.
Jij leest je prive-mail niet op je werk? Je hebt thuis geen WiFi?
Door Dennixx: Toch vertrouw ik Google *iets* meer dan Microsoft...
Dan ben je redelijk dom en naïef. Dat is ook precies wat Google hoopt dat je bent en gelukkig voor Google zijn hele massa's dat ook. Google is lief tenslotte. We houden van Google. Een wolf in schaapskleren.
29-10-2010, 11:56 door
Dev_Null
waar je een directe verbinding heb met jouw ISP, en dan gaat jouw mail niet over het grote boze internet.
Nee, daar heb je gelijk in....wist je al dat bij IEDERE ISP je persoonlijke data verkeer GEKLOOND en doorgestuurd naar de INTERNET AFTAPKAMERS van overheid(aivd, bvd, klpd en andere "cybercops")
Zie de artikelen bij deze links:
http://www.nbip.nl/
http://www.netkwesties.nl/237/voor-eerst-cijfers-internettaps.htm
ISP tap thread op Tweakers.net forum
http://gathering.tweakers.net/forum/list_messages/244849///internet%2Caftap
Hou er maar rekening mee dat ALLES wat je doet (via je isp) gevolgd kan worden door "onbekende duistere overheidsclubjes" waarvan je het bestaan nog niet eens weet, of het burger daglicht niet kunnen verdragen.
29-10-2010, 12:16 door
SirDice
Door Dev_Null:
Nee, daar heb je gelijk in....wist je al dat bij IEDERE ISP je persoonlijke data verkeer GEKLOOND en doorgestuurd naar de INTERNET AFTAPKAMERS van overheid(aivd, bvd, klpd en andere "cybercops")
Dat gebeurd niet voor iedereen altijd. Dat gebeurd alleen als er een tap verzoek vanuit justitie is.waar je een directe verbinding heb met jouw ISP, en dan gaat jouw mail niet over het grote boze internet.
Nee, daar heb je gelijk in....wist je al dat bij IEDERE ISP je persoonlijke data verkeer GEKLOOND en doorgestuurd naar de INTERNET AFTAPKAMERS van overheid(aivd, bvd, klpd en andere "cybercops")
Door Dev_Null:
Nee, daar heb je gelijk in....wist je al dat bij IEDERE ISP je persoonlijke data verkeer GEKLOOND en doorgestuurd naar de INTERNET AFTAPKAMERS van overheid(aivd, bvd, klpd en andere "cybercops")
Zie de artikelen bij deze links:
http://www.nbip.nl/
Nee, daar heb je gelijk in....wist je al dat bij IEDERE ISP je persoonlijke data verkeer GEKLOOND en doorgestuurd naar de INTERNET AFTAPKAMERS van overheid(aivd, bvd, klpd en andere "cybercops")
Zie de artikelen bij deze links:
http://www.nbip.nl/
Ok- aannemelijk verhaal, dus ik klik op de eerste link - die van het Nationale Beheersorgaan Internet Providers. Dan blijkt dat er door de providers dus helemaal niets wordt afgetapt, en dat de ISPs om aan de wettelijke eisen te voldoen een soort van mobiele aftapunit hebben die wanneer nodig wordt ingezet:
De NBIP is een stichting die tapbevelen kan uitvoeren. De NBIP investeert hiertoe in een aantal systemen dat door de aangesloten deelnemers kan worden gebruikt op het moment dat zij een tapbevel ontvangen. Hierdoor hoeft niet iedere provider de kosten voor een volledig interceptiesysteem te maken. Door de NBIP is gekozen voor EVE, de interceptie-oplossing van Pine. De NBIP zorgt voor voor het uitrijden en instellen van een mobiel tapsysteem op moment dat een deelnemer een taplast krijgt.
ISPs klonen dus helemaal niets - sterker nog, ISPs hebben zelf niet eens de spullen om je mail af te luisteren (laat staan om dan nog iets met de informatie te doen...) Je stelling was interessant, Dev Null, helaas wordt deze niet ondersteund door de links die je er bij zet...
De reden dat ik hotmail gebruik (en vele met mij) is simpel, een aantal jaren geleden is hotmail gestart, ik heb er een account aangemaakt en gebruik het al jaren sinds dien tot op de dag van vandaag gewoon omdat ik niet telkens ergens anders een email aan ga lopen maken en dan weer aan 86 mensen m'n nieuwe adres moet doorgeven.
Door Anoniem:
Het kan misschien aan mij liggen, maar als ik inlog bij hotmal wordt alles gewoon netjes via SSL gedaan.
Men zit weer van alles af te schieten zonder eerst eens goed te kijken.
Het kan misschien aan mij liggen, maar als ik inlog bij hotmal wordt alles gewoon netjes via SSL gedaan.
Men zit weer van alles af te schieten zonder eerst eens goed te kijken.
De inlog gaat wel via ssl, maar zo gauw je ingelogd bent, wordt er meteen terug geschakeld naar onbeveiligde http. Dus iemand op de juiste plaats in het netwerk ziet al jouw mailtjes langskomen die je zit te bekijken.
24-02-2011, 00:14 door
GNOE Inc.
*cynisch* Wat maakt het uit. Ik heb toch niks te verbergen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
