Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
HTTPS en security.nl
Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt. Dat is niet altijd gelijk gevaarlijk, misschien wel iets om over na te denken.
Na het inloggen word je verwezen naar https://security.nl, wat een mooie fout geeft bij certificaatverificatie: het certificaat is niet uitgegeven voor security.nl maar voor secure.security.nl. Het lijkt me dan ook de bedoeling dat er een certificaat komt voor security.nl, of dat een juiste verwijzing naar secure.security.nl.
Nadat ik naar secure.security.nl ging, kwam er ook weer een melding dat er helaas bronnen op de pagina zitten die niet beveiligd zijn. Voor een screenshot: http://i.imgur.com/ohb0R.png
Helaas kon ik op het forum over dit onderwerp nog geen topics vinden, vandaar dat ik dan maar de vraag stel ;) Is https bij security.nl nog experimenteel o.i.d?
Na het inloggen word je verwezen naar https://security.nl, wat een mooie fout geeft bij certificaatverificatie: het certificaat is niet uitgegeven voor security.nl maar voor secure.security.nl. Het lijkt me dan ook de bedoeling dat er een certificaat komt voor security.nl, of dat een juiste verwijzing naar secure.security.nl.
Nadat ik naar secure.security.nl ging, kwam er ook weer een melding dat er helaas bronnen op de pagina zitten die niet beveiligd zijn. Voor een screenshot: http://i.imgur.com/ohb0R.png
Helaas kon ik op het forum over dit onderwerp nog geen topics vinden, vandaar dat ik dan maar de vraag stel ;) Is https bij security.nl nog experimenteel o.i.d?
Reacties (8)
19-03-2012, 12:16 door
SirDice
Door rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.<form action="https://secure.security.nl/" method="post">
19-03-2012, 13:25 door
rbeumer
Door SirDice:
<form action="https://secure.security.nl/" method="post">
Door rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.<form action="https://secure.security.nl/" method="post">
Vreemd, ik werd niet naar secure.security.nl verwezen, maar gewoon security.nl
19-03-2012, 13:42 door
SirDice
Door rbeumer:
Dat maakt ook niet uit, het gaat om de login gegevens. Die worden evengoed over SSL gestuurd, ook al maak je geen SSL connectie met de site zelf.Door SirDice:
<form action="https://secure.security.nl/" method="post">
Vreemd, ik werd niet naar secure.security.nl verwezen, maar gewoon security.nlDoor rbeumer: Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt.
De login gegevens worden over SSL gepost.<form action="https://secure.security.nl/" method="post">
"Het was al een tijd geleden dat ik inlogde op security.nl. Daarbij viel het me op dat voor het inloggen in eerste instantie geen https wordt gebruikt, maar pas nadat er op inloggen wordt geklikt. Dat is niet altijd gelijk gevaarlijk, misschien wel iets om over na te denken."
Naast het feit dat de login gegevens via https gaan, zoals uitgelegd door SirDice, vraag ik me af waar je je druk om maakt. Welke gevoelige informatie over jou wordt op deze website opgeslagen ? Of vind je het gebruik van https op iedere website even relevant ?
Naast het feit dat de login gegevens via https gaan, zoals uitgelegd door SirDice, vraag ik me af waar je je druk om maakt. Welke gevoelige informatie over jou wordt op deze website opgeslagen ? Of vind je het gebruik van https op iedere website even relevant ?
19-03-2012, 16:33 door
rbeumer
Het is een teken van slordigheid. Misschien niet direct schadelijk, maar wel erg slordig.
19-03-2012, 19:36 door
Bitwiper
Door SirDice:
De login gegevens worden over SSL gepost.
<form action="https://secure.security.nl/" method="post">
Daar heb je geen fluit aan als een MITM aanvaller die regel code tussen www.security.nl en jouw webbrowser (ongemerkt voor jou) wijzigt in De login gegevens worden over SSL gepost.
<form action="https://secure.security.nl/" method="post">
<form action="https://mitm.example.com/" method="post">
of <form action="http://mitm.example.com/" method="post">
Daarom is het essentieel dat je reeds een https verbinding hebt -met de juiste site- voordat een actie tot gevolg heeft dat gevoelige gegevens worden overgedragen.Overigens is dit onderwerp al verschillende keren aan de orde geweest, zie bijv. https://secure.security.nl/artikel/39384/1/Security.nl_https_verbetering.html.
19-03-2012, 22:14 door
root
En ter aanvulling op Bitwiper: de gebruiker moet eenvoudig kunnen zien dat zijn login gegevens veilig over het net worden getransporteerd, en dat is nu niet zo. Het kan beter dus.
19-03-2012, 22:42 door
0101
Die onveilige bronnen zijn advertenties. Met AdBlock+ heb ik er geen last van. Oh, en verder nog de afbeeldingen bij artikelen. Maar dat vangt HTTPS Everywhere af.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
