image

"Bedrijven moeten standaard browser snel kunnen wisselen"

dinsdag 2 september 2014, 11:51 door Redactie, 13 reacties

Het is belangrijk dat organisaties en bedrijven de standaard ingestelde browser op kantoorcomputers snel kunnen wisselen als er een zero day-kwetsbaarheid in de software wordt aangetroffen waarvoor nog geen update beschikbaar is. Daarvoor pleit het Internet Storm Center (ISC).

In het geval van bijvoorbeeld een zero day-lek in Adobe Flash Player kan een bedrijf ervoor kiezen om Flash op de firewall te blokkeren totdat er een oplossing beschikbaar is. Hetzelfde geldt voor ActiveX, Java of PDF-bestanden. Gebruikers hebben een browser in veel gevallen echter nodig. Systeembeheerders moeten dan ook over een proces beschikken als de standaard ingestelde browser een ernstig lek blijkt te bevatten waarvoor geen update beschikbaar is.

Minuten na het nieuws zou de standaard browser moeten zijn omgewisseld met een andere browser, aldus het ISC. De organisatie heeft een uitleg online gezet hoe dit via een Active Directory Domain kan worden gedaan. Het blijkt dat de standaard browser via het updaten van slechts 5 registersleutels is aan te passen. De sleutels stellen de standaard ingestelde applicaties voor HTM- en HTML-bestanden in, alsmede de applicatie voor de FTP-, HTTP- en HTTPS-procollen.

"De truc is echter om mensen uit te laten loggen en in te laten loggen. Hopelijk dwing je mensen om elke dag uit te loggen door een vaste uitlogtijd in te stellen", zegt ISC-handler Rob VandenBrink. Hij merkt op dat als systeembeheerders dit hebben ingesteld, de registeraanpassingen kunnen worden doorgevoerd voordat de meeste mensen 's ochtends inloggen en met werken beginnen.

Reacties (13)
02-09-2014, 12:09 door Cornelius
Het probleem bij veel bedrijven is dat de browser ook vaak wordt gebruikt voor het benaderen van interne applicaties. En leveranciers van dergelijke applicaties lopen vaak (gelukkig niet altijd) hopeloos achter met het ondersteunen van actuele browsers. Waardoor bedrijven vaak gedwongen zijn één specifieke browser (en dan ook nog die ene versie) te gebruiken. Een gemiddelde gebruiker uitleggen dat hij voor webbrowsen een andere browser moet kiezen, maar voor die interne applicatie nog steeds de "eerste" browser, dat krijg je in de praktijk echt niet uitgelegd (uitzonderingen daar gelaten).

BTW, een gemiddelde gebruiker weet niet eens wat een browser is. Gemiddelde uitleg: "dat programma wat je gebruikt om websites te bekijken". Gemiddeld antwoord: "oh, je bedoelt Internet Explorer?". Dus…
02-09-2014, 12:11 door Anoniem
moeten.

mogen bedrijven ook nog iets zelf weten?
02-09-2014, 12:29 door Vandy - Bijgewerkt: 02-09-2014, 12:30
Door Cornelius: Het probleem bij veel bedrijven is dat de browser ook vaak wordt gebruikt voor het benaderen van interne applicaties. En leveranciers van dergelijke applicaties lopen vaak (gelukkig niet altijd) hopeloos achter met het ondersteunen van actuele browsers. Waardoor bedrijven vaak gedwongen zijn één specifieke browser (en dan ook nog die ene versie) te gebruiken. Een gemiddelde gebruiker uitleggen dat hij voor webbrowsen een andere browser moet kiezen, maar voor die interne applicatie nog steeds de "eerste" browser, dat krijg je in de praktijk echt niet uitgelegd (uitzonderingen daar gelaten).
Klopt. Op mijn werk bankieren we bij een bepaalde bank, die internetbankieren (met een smartcard via USB, dus op zich best modern) uitsluitend ondersteunt in Internet Explorer. In andere browsers kom je simpelweg niet door de login heen.

Onlangs nieuwe PC's met Windows 8 aangeschaft, en daarop werkt inloggen bij deze bank helemaal niet meer. Gelukkig hebben we nog twee ouwetjes bewaard, eentje met Windows Vista en eentje met Windows 7, waarop het voorlopig wel werkt, maar ideaal is anders.

De bank meldt: IE wordt ondersteund tot een bepaalde versie, nieuwere nog niet. Zodra dat wel zo is, hoort u dat wel.
02-09-2014, 12:32 door Anoniem
"Het probleem bij veel bedrijven is dat de browser ook vaak wordt gebruikt voor het benaderen van interne applicaties. En leveranciers van dergelijke applicaties lopen vaak (gelukkig niet altijd) hopeloos achter met het ondersteunen van actuele browsers."

Het is je eigen keuze met welke leverancier je in zee gaat, en welke functionele eisen je stelt. Indien je gebruik maakt van een leverancier die dergelijke zaken niet op orde heeft, ben je daar dan niet deels zelf voor verantwoordelijk als organisatie ?

"Waardoor bedrijven vaak gedwongen zijn één specifieke browser (en dan ook nog die ene versie) te gebruiken. "

Gedwongen is een groot woord. Kennelijk gaan ze daarmee akkoord, zonder goede afspraken te maken.

"Een gemiddelde gebruiker uitleggen dat hij voor webbrowsen een andere browser moet kiezen, maar voor die interne applicatie nog steeds de "eerste" browser, dat krijg je in de praktijk echt niet uitgelegd (uitzonderingen daar gelaten)."

Een beetje mosterd na de maaltijd. Je moet zorgen dat die applicatie niet afhankelijk is van 1 browser.

"BTW, een gemiddelde gebruiker weet niet eens wat een browser is. Gemiddelde uitleg: "dat programma wat je gebruikt om websites te bekijken". Gemiddeld antwoord: "oh, je bedoelt Internet Explorer?". Dus…"

De suggestie om de standaard browser te wijzigen zal niet zoveel effect hebben. Gebruikers kiezen zelf toch meestal welke browser ze gebruiken, ongeacht dergelijke instellingen. Wil je forceren dat ze een browser (of andere applicatie) niet gebruiken, zorg dan dat ze geen rechten hebben om die specifieke applicatie uit te voeren.
02-09-2014, 12:40 door Anoniem
laat andere browser leveranciers eerst maar eens stoppen met de complete sdk te upgraden van build naar build iedere 6 weken en kom dan terug om een fatsoenlijk gesprek er over aan te gaan.

Ie is de enige browser die zich aan zijn eigen standaard houdt, dus ook de enige naar mijn idee met een zakelijk bestaansrecht.

Je wilt toch niet 30 verschillende firefox versies en 4 chrome uitvoeringen binnen je bedrijf hebben, omdat meneer de gebruiker dan net wat makkelijker op zijn home button kan klikken?
02-09-2014, 12:58 door Anoniem
Als het alleen de browser zou zijn waar het om ging....
Er zijn vele plugings waarvan de bekende java en flash zijn. Dan blijkt zo'n web-applicatie of in huis/aangekocht heel afhankelijk te zijn van zo'n setup/configuratie. Hiermee komt er snel tegenspraak met releaseonderhoud binnen.
Was het allemaal maar plain html-5 wat door de browser kwam.
02-09-2014, 13:22 door Anoniem
Je kunt dit eenvoudig regelen als je een proxy autoconfig file maakt met behulp van een script op je intranet server.
In je browsers configureer je proxy autoconfig met een URL op je intranet server en daarachter hangt een script
(php, active-x, whatever) wat o.a. te horen krijgt wat de browser string is en dat een javascript kan returnen wat
toegang tot bepaalde adresranges (intern, internet) al dan niet kan toelaten of via een proxy kan sturen.

Als je dit script aanpast (op de server!) heeft het effect voor alle nieuw gestarte browsers, in/uitloggen of hetstarten
van de PC is niet nodig. Je kunt het zo maken dat mensen die proberen te internetten met een browser waarmee dat
op dat moment niet mag worden geredirect naar een uitlegpagina.

Allemaal heel makkelijk, hebben we al meer dan 10 jaar in gebruik.
02-09-2014, 14:56 door Anoniem
Door Vandy:
De bank meldt: IE wordt ondersteund tot een bepaalde versie, nieuwere nog niet. Zodra dat wel zo is, hoort u dat wel.

De vraag is, of je dan niet eens moet kijken naar een alternatieve bank. Dat ze niet binnen een week op de nieuwe browser kunnen werken, is logisch. Maar ze zouden toch een streefdatum moeten hebben. Overigens, waarom met een smartcard en via USB? De manier die bij thuisgebruikers werkt, via een losse calculator en codes overtypen zou misschien wel op elke browser kunnen werken. En elk OS, want zo lijk je vast te zitten aan oude (straks mogelijk zelfs kwetsbare) OSsen/Browsers
02-09-2014, 15:47 door Anoniem
Door Anoniem: "Het probleem bij veel bedrijven is dat de browser ook vaak wordt gebruikt voor het benaderen van interne applicaties. En leveranciers van dergelijke applicaties lopen vaak (gelukkig niet altijd) hopeloos achter met het ondersteunen van actuele browsers."

Het is je eigen keuze met welke leverancier je in zee gaat, en welke functionele eisen je stelt. Indien je gebruik maakt van een leverancier die dergelijke zaken niet op orde heeft, ben je daar dan niet deels zelf voor verantwoordelijk als organisatie ?

Lekker makkelijk kletsen vanaf de zijlijn he?
Niet alleen wordt de keuze voor een bepaalde applicatie bepaald door tientallen tot honderden aspecten, en je kunt
ze niet allemaal dezelfde waarde toekennen. Kan dus best zijn dat een applicatie gekozen is met 99 voordelen en
dit ene nadeel.

Daarnaast blijkt dit soort dingen vaak pas later. Op het moment dat je kiest wordt alles van dat moment ondersteund,
maar later komen er nieuwe browsers die niet ondersteund worden of die alleen ondersteund worden als je de applicatie
zelf upgrade naar een nieuwe versie. Wat dan weer niet kan omdat dat heel duur is, veel werk is, etc.

Kortom "het is je eigen schuld had je maar niet die applicatie moeten nemen" dat zet weinig zoden aan de dijk.
02-09-2014, 16:19 door Vandy
Door Anoniem:
Door Vandy:
De bank meldt: IE wordt ondersteund tot een bepaalde versie, nieuwere nog niet. Zodra dat wel zo is, hoort u dat wel.

De vraag is, of je dan niet eens moet kijken naar een alternatieve bank. Dat ze niet binnen een week op de nieuwe browser kunnen werken, is logisch. Maar ze zouden toch een streefdatum moeten hebben. Overigens, waarom met een smartcard en via USB? De manier die bij thuisgebruikers werkt, via een losse calculator en codes overtypen zou misschien wel op elke browser kunnen werken. En elk OS, want zo lijk je vast te zitten aan oude (straks mogelijk zelfs kwetsbare) OSsen/Browsers
Helaas ben ik slechts een pion in het spel, en op dat gebied geen "decision maker". We moeten van de aandeelhouder (en volgens mij ook vanwege Europese regels) bij een systeembank bankieren, en onze huidige bank is de enige systeembank in Nederland die de diensten biedt waar wij gebruik van maken.

Waarom smartcards: dat weet ik ook niet. Elke user heeft andere bevoegdheden; voor transacties zijn altijd twee authenticaties van verschillende smartcards nodig zijn (en voor sommige transacties zelfs drie). Kennelijk heeft iemand ooit bedacht dat dit veiliger is, denk ik.
03-09-2014, 08:28 door Anoniem
Door Vandy:Waarom smartcards: dat weet ik ook niet.
Vermoedelijk is het de bedoeling dat er een digitale handtekening op de volledige transactie wordt geplaatst (inclusief alfanumerieke gegevens als namen en omscrhrijvingen), en niet alleen op het totaalbedrag van een groepje transacties, zoals je als partikulier gewoonlijk meemaakt. En vermoedelijk is de smartcard in dit geval een compleet computertje op een kaartje, is het sleutelpaar op de smartcard zelf gegenereerd en verlaat de privésleutel nooit de kaart. Alle data moet dan naar de kaart worden getransporteerd, daar ondertekend, en het resultaat moet terug naar de computer om doorgestuurd te worden naar de bank. De privésleutel én het gebruik ervan zitten dan op een apparaat waar malware geen invloed op heeft, het installeren van software op zo'n smartcard is namelijk ook met cryptografische technieken afgeschermd. Het levert een veilig eindpunt bij de klant op.

Ik heb ooit bij een bank gewerkt die voor professionele klanten een dergelijk systeem gebruikte. Het is voor een deel een ijzersterke opzet, maar zoals het daar ging had het wel een in mijn ogen serieuze achillespees: de data die je uiteindelijk ondertekende werd in een popup op je pc-scherm getoond, en de pincode voor de smartcard werd op het toetsenbord van de pc ingevuld. Dan zit je nog steeds essentiële onderdelen van het ondertekenen op een systeem te doen dat gecompromitteerd kan zijn, en dan is een los calculatortje, met al zijn beperkingen, misschien nog wel betrouwbaarder.

Ik zie meer in een apparaatje met een eigen scherm dat de volledige transactiedata kan tonen en dat een eigen toetsenbordje heeft voor de pincode of het wachtwoord. RABO heeft aangekondigd dat hun 'random readers' door een dergelijk systeem vervangen gaan worden.
Elke user heeft andere bevoegdheden; voor transacties zijn altijd twee authenticaties van verschillende smartcards nodig zijn (en voor sommige transacties zelfs drie). Kennelijk heeft iemand ooit bedacht dat dit veiliger is, denk ik.
Het idee daarvan is dat de kans op invoerfouten en fraude door medewerkers aanzienlijk wordt verkleind als er meer mensen bij betrokken zijn. Je controleert elkaars fouten, en de drempel om te frauderen is aanzienlijk kleiner als je het alleen af kan handelen dan wanneer je met een of twee anderen samen moet werken om het voor elkaar te krijgen.
03-09-2014, 09:22 door Mysterio
Er zijn zat bedrijven waar medewerkers de instructie hebben om de sites en applicaties van het bedrijf binnen IE te openen en je eigen zaken in bijvoorbeeld Chrome. Werkt prima.
03-09-2014, 12:23 door Anoniem
Door Anoniem:
Ik heb ooit bij een bank gewerkt die voor professionele klanten een dergelijk systeem gebruikte. Het is voor een deel een ijzersterke opzet, maar zoals het daar ging had het wel een in mijn ogen serieuze achillespees: de data die je uiteindelijk ondertekende werd in een popup op je pc-scherm getoond, en de pincode voor de smartcard werd op het toetsenbord van de pc ingevuld. Dan zit je nog steeds essentiële onderdelen van het ondertekenen op een systeem te doen dat gecompromitteerd kan zijn, en dan is een los calculatortje, met al zijn beperkingen, misschien nog wel betrouwbaarder.

Dat systeem is niet bedoeld om te voorkomen dat er transacties gemanipuleerd worden door een gecompromitteerd
systeem, maar om te regelen dat betalingsopdrachten alleen gegeven kunnen worden met instemming van de daarvoor
gemachtigde werknemers. Het veilig en onbesmet houden van de systemen is geen onderdeel van het takenpakket
van de bank, dat moet de ondernemer zelf regelen. Wellicht dat men dit wel zou bijbouwen als het NU ontworpen zou
worden, maar toen dat systeem gebouwd werd speelde dat in de praktijk nog niet.

Los daarvan is het inderdaad aan te raden het systeem offlline (dus zonder USB) te gebruiken. Dat kan gewoon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.