Microsoft verplicht SSL niet voor Hotmail
Microsoft zal geen 'full-session SSL' voor Hotmail-gebruikers instellen, zo heeft het laten weten. Woensdag verscheen onderstaand overzicht, waaruit blijkt dat Hotmail kwetsbaar voor 'sidejacking-aanvallen' is. Met name gebruikers van onbeveiligde draadloze netwerken en publieke hotspots lopen daardoor het risico dat iemand tijdelijk hun account kaapt.
George Ou die het overzicht maakte, vroeg Microsoft om een reactie. De softwaregigant liet weten dat in november Hotmail-gebruikers 'full-session' SSL encryptie tijdens de gehele Hotmail sessie kunnen instellen, wat aanvallen door Firesheep en andere 'cookie-stealing exploits zou voorkomen.
Deze aanpassing zal echter niet standaard staan ingeschakeld. "Wat betekent dat de meeste gebruikers geen SSL zullen gebruiken. Hopelijk lossen ze wel standaard het cookie-diefstal probleem op, en overwegen ze de bijna niet bestaande overhead om SSL browsing voor alle Hotmail-gebruikers in te schakelen. Al het harde werk om de SSL sessie tijdens de initiële authenticatie fase op te zetten is al gedaan", aldus Ou.
Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
ok helaas ik teste dit met mijn msn.com account
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
Ik krijg hier hetzelfde. Raar?
"Deze Windows Live ID kan niet automatisch HTTPS gebruiken omdat deze functie niet beschikbaar is voor dit accounttype."
Ik heb net gekeken om het in te stellen. Maar ik kan nergens zien waar ik dit kan instellen. Iemand anders die het wellicht wel weet?
Lezen is ook een vak, hè? Er staat toch heel duidelijk november, en laat het nu net november zijn.
Wat ik heb gedaan is mail.live.com verplichten om HTTPS te gebruiken via NoScript. De addon Webmail Notifier werkt dan niet meer volautomatisch qua inloggen zodat ik direct in de inbox kom maar ik moet dan zelf inloggen en de vraag of ik automatisch https wil gebruiken steeds weer bevestigen en de pagina daarna geeft inderdaad de opmerking die Erwtensoep al aangaf wanneer ik de optie HTTPS automatisch gebruiken probeer te gebruiken. Dus kies ik dan maar voor niet automatisch gebruiken waarna ik dan op het inlogscherm kom. Maar goed, het is dan gewoon te gebruiken via een beveiligde verbinding. Beetje omslachtig, da's dan jammer, maar goed, het werkt in ieder geval.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
