Chrome-extensie waarschuwt voor onveilige websites
Onderzoekers van het Citizen Lab van de Universiteit van Toronto hebben een extensie voor Google Chrome ontwikkeld die gebruikers waarschuwt voor onveilige websites en advertentietrackers. TrackerSSL laat gebruikers weten naar wie de bezochte website informatie doorstuurt, of dit veilig gebeurt en maakt het vervolgens mogelijk om de werkwijze van de website via Twitter bekend te maken.
Volgens de ontwikkelaars moet TrackerSSL het probleem van onversleuteld datatransport aanpakken, waardoor gebruikers kwetsbaar zijn voor massasurveillance. Door de onthullingen van Snowden is er een beweging ontstaan die het hele web wil versleutelen. Via TrackerSSL krijgen gebruikers inzicht wat de obstakels hierbij zijn. Zo wordt van elke bezochte website het percentage advertentietrackers getoond dat HTTPS ondersteunt, alsmede de naam van de trackingbedrijven en een overzicht van trackers die unieke identifiers gebruiken om gebruikers te volgen.
"Hoewel advertentietrackers voornamelijk voor gepersonaliseerde advertenties worden gebruikt, is het bekend dat de NSA met de identificerende cookies van advertentietrackers meelift om zo gedetailleerde profielen over hun doelwitten te verzamelen", aldus de onderzoekers. Het gebruik van HTTPS kan dit tegengaan. Veel advertentietrackers zouden echter nog geen HTTPS ondersteunen. Websites kunnen daardoor nog niet volledig op HTTPS overstappen, waardoor het probleem blijft bestaan. Door de resultaten via Twitter te delen hopen de ontwikkelaars een discussie over het gebruik van HTTPS aan te zwengelen.
Volgens mij begrijp je het totaal verkeerd. "encryptie" in dit geval is de versleuteling van de verbinding tussen de browser en de server van de adverteerder. Dit heeft geen invloed op hun tracking of werking. De voordelen van deze versleuteling is in notendop:
A) het verkeerd theoretisch niet aangepast kan worden (tenzij private key bekend is en er een MITM-aanval wordt uitgevoerd).
B) tracking cookies en overige informatie niet (meer) onderschept kunnen worden, voor het volgen van gebruikers, door partijen die tussen de browser en server op de verbinding zitten (opnieuw: tenzij private key en MITM aanval).
C) je redelijke mate van zekerheid hebt dat de server waarmee je verbind ook daadwerkelijk de server is waarmee je een verbinding wilde maken (opnieuw: tenzij private key en MITM aanval).
Nadelen van deze versleuteling: er moeten meer bytes verstuurd worden aan beide kanten (niet veel, maar aan server kant vereist dit meer cpu), extra rekenkracht nodig voor het uitrekenen van de versleuteling.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
