Computerbeveiliging - Hoe je bad guys buiten de deur houdt

vliegwinkel.nl onbeveiligd?

07-04-2011, 11:13 door dnmvisser, 15 reacties
Iemand enig idee wat er aan de hand is met www.vliegwinkel.nl?
Voorheen deed die site HTTPS, maar gister tijdens boeken van een reis opeens niet meer?
Er staat nog wel dat ze SSL doen (http://www.vliegwinkel.nl/veiligenvertrouwdboeken.html), maar ze doen het blijkbaar wel niet echt...

https://www.vliegwinkel.nl wordt geredirect naar http://www.vliegwinkel.nl.
De mevrouw van de helpdesk bleek met geen mogelijkheid te overtuigen dat er een probleem is.
En nee meneertje we mogen u ook niet zomaar doorverbinden met de IT afdeling, dat gaat zomaar niet.
Maar de site is wel veilig hoor, u kunt gerust betalen.
Tsja.
Reacties (15)
07-04-2011, 12:02 door Anoniem
Beste,

bij Vliegwinkel kan je niet beginnen met een HTTPS verbinding. Als je zelf begint met het invoeren van HTTPS://VLIEG..........(wat bijna niemand doet, maar natuurlijk wel mag) dan zet hij de link terug naar HTTP:\\. Zodra je bij de pagina komt dat je je klantgegevens moet invoeren, en alle pagina's erna, switcht de site naar een Secure omgeving HTTPS om deze gegevens te beschermen. Dit is bewust zo gedaan en dat is ook een afdoende beveiliging.
De achtergrond van deze opzet is de aanwezigheid van elementen op de eertse pagina's met URL's buiten onze omgeving en dan krijg je met de huidige generatie browsers van die vervelende beveiligingsmeldingen. Dat willen we onze klanten vermijden.
Zoals gezegd is de beveiliging 100% op orde vanaf het moment dat de klant gegevens invoerd en helemaal als er betaald wordt, daar zorgt ook ons betaalplatform voor.
Mocht je nog andere zaken willen weten, of daar over willen dicussieren, laat even een bericht achter op reserveringen@vliegwinkel.nl t.n.v Peter IT

Groeten,
Peter
07-04-2011, 12:35 door Bitwiper
Door Peter IT van vliegwinkel.nl: Zoals gezegd is de beveiliging 100% op orde vanaf het moment dat de klant gegevens invoerd
Het probleem is dat de verbinding daarvoor niet beveiligd is. Een man-in-the-middle kan zo eenvoudig inbreken.

Op het moment dat de gebruiker een SSL verbinding zou krijgen, zet de aanvaller die op met vliegwinkel.nl, de gebruiker ziet dan een onbeveiligde verbinding met de aanvaller. Alleen heel alerte gebruikers zullen het gemis aan een SSL verbinding opmerken.

vliegwinkel.nl gebruikt dus schijnsecurity op een manier waar al jaren voor gewaarschuwd wordt, en als ik me niet vergis is deze werkwijze niet conform de eisen van de PCI (Payment Card Industry).
07-04-2011, 13:25 door Anonl3m
Als een website geheel onder https draait, dan is hij slecht te vinden via zoekmachines (SEO, iemand?). En het is dus logisch (om een bekende vorige eeuwse wijsgeer te parafraseren) dat alleen het privacy gevoelige deel van de website via een https verbinding verloopt. Na alle campagnes zoals '3 x kloppen' e.d. mag je verwachten dat er wel een klein beetje is blijven hangen bij de grote massa en dat men nog even kijkt of er een hangslotje in de browser staat, voordat ze op 'OK' drukken om de creditcardgegevens te verzenden.

Just my $0,02
07-04-2011, 15:29 door dnmvisser
e.e.a. is inmiddels met ideal betaald, en kan niet ff een vluchtje boeken om de credit card optie te checken ;-)
Echter het inloggen met username/password is nog gewoon plain-text?
07-04-2011, 15:30 door benjamin1555
SSL cert:

Chain issues Incomplete
Session resumption No (IDs assigned but not accepted)
Renegotiation Insecure Renegotiation Supported INSECURE
07-04-2011, 16:23 door Anoniem
Het blijft een mooie discussie en het afwegen van voor- en tegen argumenten.
Ik zou zeker niet het woord schijnveiligheid willen gebruiken als je naar de opbouw kijkt van onze beveiliging. Er zijn weinig verkoop sites, ik ken ze niet, waar je secure op de homepage kan browsen vanwege de eerder genoemde redenen.
Er is dus ook niets aan de hand met Vliegwinkel, kijkend naar de veiligheid.

Het is ook goed om even op te merken dat de genoemde PCI eis alleen bedoeld is voor websites van Payment Providers of wanneer je site een geïntegreerde oplossing biedt waar ook CreditCard gegevens worden ingevoerd, dus binnen je eigen pagina's. Onze betalingen lopen via een externe Payment gateway en deze is helemaal volgens de eisen van de PCI ingericht.

Ik neem wel deze gelegenheid aan om ons contact centre met deze informatie te voeden zodat ze ook deze vragen moeiteloos kunnen beantwoorden en terecht de eventuele beveiligingszorgen bij onze klanten kan wegnemen.

Peter, IT Vliegwinkel.nl
08-04-2011, 11:25 door Anoniem
Door Anoniem: Het blijft een mooie discussie en het afwegen van voor- en tegen argumenten.
Ik zou zeker niet het woord schijnveiligheid willen gebruiken als je naar de opbouw kijkt van onze beveiliging. Er zijn weinig verkoop sites, ik ken ze niet, waar je secure op de homepage kan browsen vanwege de eerder genoemde redenen.
Er is dus ook niets aan de hand met Vliegwinkel, kijkend naar de veiligheid.

Het is ook goed om even op te merken dat de genoemde PCI eis alleen bedoeld is voor websites van Payment Providers of wanneer je site een geïntegreerde oplossing biedt waar ook CreditCard gegevens worden ingevoerd, dus binnen je eigen pagina's. Onze betalingen lopen via een externe Payment gateway en deze is helemaal volgens de eisen van de PCI ingericht.

Ik neem wel deze gelegenheid aan om ons contact centre met deze informatie te voeden zodat ze ook deze vragen moeiteloos kunnen beantwoorden en terecht de eventuele beveiligingszorgen bij onze klanten kan wegnemen.

Peter, IT Vliegwinkel.nl

Maar wat houdt jullie dan tegen om het wel volgens de PCI eis te regelen? Waarom slechts een minimum niveau bieden? Kosten aspect misschien? Ik ga ervan uit dat er genoeg wordt verdiend om een service als een hoger beveiligingsniveau eenvoudig te kunnen bieden. Scheelt ook een hoop uitleg en belletjes naar een klantenservice.
Persoonlijk koop ik niets bij sites die slechts een marginale beveiliging hebben geregeld, en dat advies geef ik aan iedereen die het maar wil horen.
08-04-2011, 16:11 door Anoniem
He anoniem, laat peter eens een beetje met rust.

Hij heeft het payment gedeelte prima geregeld, en de rest van de website is niet beveiligd.
Hierdoor loop je kans dat een hacker je reisje ardennen stiekem omzet naar een enkeltje siberie, als je tijdens het betalen niet meer op het bedrag of de bestemming let. doe je dat niet, dan verdien je je weekje siberie. ;-)
als ik naar Bol.com of kijkshop.nl ga schiet ik ook niet meteen door naar https.
08-04-2011, 17:12 door [Account Verwijderd]
[Verwijderd]
08-04-2011, 18:19 door Bitwiper
Ik moet mijn opmerking corrigeren, de PCI vereist -helaas- niet dat de hele site via SSL beschermd is. Wel is er de eis dat de transfer van transactiegegevens wordt beveiligd middels encryptie. Bij een MITM aanval is dat natuurlijk niet het geval, maar de PCI gaat niet op dat soort situaties in (m.a.w. je kunt de verantwoordelijkheid al snel op de klant afschuiven). N.b. MITM aanvallen zijn vooral via publieke WiFi hotspots (o.a. op Schiphol!) eenvoudig uit te voeren.

Dat je als web-site eigenaar zo voldoet aan eisen zoals van de PCI, wil niet zeggen dat je zo een veilige site voor doorsnee gebruikers hebt gemaakt; banken onderkennen dit langzamerhand, kijk bijv. maar naar https://secure.security.nl/artikel/36756/1/ING_waarschuwt_voor_inloggen_via_e-mail.html.

Mensen die via een phishing e-mail of vervalste Google zoekresultaten op een site terechtkomen die als twee druppels water op vliegwinkel.nl lijkt (p.s. vliegwinkel.eu is nog vrij!), zullen niet merken dat ze hun creditcardgegevens invoeren op een niet-SSL protected site (dit naast het eerder door mij aangekaarte risico voor MITM aanvallen).

Je kunt een deel van dit probleem oplossen door mensen te leren dat alle websites, waar je (direct of indirect) financiële transacties mee doet en/of persoonsgegevens achterlaat, uitsluitend via SSL benaderbaar zijn. Toegegeven, er zullen echter altijd sukkels zijn die nooit op SSL/TLS slotjes letten. Echter, net zoals voor Anoniem van 11:25 hierboven geldt ook voor mij dat ik, als ik kan kiezen, de voorkeur geef aan beter beveiligde sites. Die sites hebben dus een commercieel voordeel, en dat neemt alleen maar toe naarmate meer websites standaard via SSL beschikbaar komen (Google, twitter etc).

Overigens houdt vliegwinkel.nl zich niet aan https://beheer.thuiswinkel.org/waarborg/index.asp?bedrijfid=6e21f5dc62713689871903d48a0cbade v.w.b. "Uw persoonsgegevens laat u achter in een beveiligde webomgeving, die is voorzien van minimaal een SSL-certificaat (slotje onder of boven aan de webpagina)", want als ik op "Log in" gevolgd door "Aanmelden" klik en vervolgens op http://www.vliegwinkel.nl/RegisterProfile.aspx mijn persoonsgegevens invul, zie ik nergens een slotje. Het zou best kunnen dat die gegevens via SSL worden verzonden (ik heb het niet getest), maar ook al is dat zo, hoe weet ik dat dit zal gebeuren op het moment dat ik op "Gegevens bewaren" klik?

PS mijn bijdragen zijn niet bedoeld om specifiek Vliegwinkel te pesten. Er zijn meer sites die het net zo fout doen. Dat anderen iets niet goed doen kan echter nooit de enige reden zijn om het dan zelf ook maar niet goed te doen. Met de toename van smartphones/tablets en bijbehorende open WiFi verbindingen moeten de beheerders van dit soort website hun verantwoordelijkheid nemen, en ook de PCI zou dat moeten doen.
08-04-2011, 18:46 door [Account Verwijderd]
[Verwijderd]
08-04-2011, 18:50 door [Account Verwijderd]
[Verwijderd]
08-04-2011, 21:43 door Anoniem
Los van het wel of niet voldoen aan de eisen van de PCI is het gewoon triest dat de enige manier om een 'klacht' in te dienen via een security forum moet gebeuren. Ik heb meerdere malen verzocht of ik kon praten met iemand van de IT afdeling maar nee hoor, dat is onmogelijk.

En trouwens, er was gewoon iets mis met het certificaat, ik had een screenshot moeten nemen maar had niet de tegenwoordigheid van geest helaas.

Nu is alles leuk https, maar de betaallink die mij gemailed werd was gewoon http.

groet,
degene die de klacht in de eerste plaats had
09-04-2011, 09:04 door Syzygy
Prachtig bericht en goede commentaren (hetgeen ik hopelijk niet laat degraderen)

Ten eerste vind ik het geweldig dat er een reactie is van de vliegwinkel
(ik neem even aan dat die 1e anoniem verbonden is met deze site)
erg alert.

Bitwiper, ook altijd alert, heeft natuurlijk een punt daar maar dat is niet te overkomen. Man in the MIddle is natuurlijk altijd een "achilleshiel" , maar wel weer zoals we van hem gewend zijn, voorzien van duidelijke en verklarende uitleg.
Het/hij houdt ons scherp.

Verder komt Bitwiper met een correctie, na het lezen van de standaarden, en is niet te trots om dit toe te geven (meestal als er een foutje gemaakt wordt, zie je de mensen niet meer terug in de discussie).
Chapeau Bitwiper ( de mensen die hier langer komen, kennen je toewijding en je manier van posten dus je hebt krediet genoeg hier ;-)

Uiteraard de rest ook goede reacties met behoud van decorum.

Erg leuk om te lezen !!
10-04-2011, 14:44 door Anoniem
... En toen kwam ik uiteindelijk op https://www.vliegwinkel.nl/Orders/FinalizeOrder/Finalize.aspx?s=3 aan, toen meneer Vliegwinkel naar mijn vreditcard gegevens vroeg. Nou wat is je probleem ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.