Nieuws
image

Microsoft waarschuwt voor TLS/SSL-lek in Windows

vrijdag 6 maart 2015, 10:01 door Redactie, 6 reacties

Niet alleen Android- en Applegebruikers lopen risico door de deze week onthulde "FREAK attack" op TLS/SSL, ook Windowsgebruikers zijn kwetsbaar, zo laat Microsoft weten. Via het lek kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken.

In eerste instantie werd gesteld dat Apple TLS/SSL-clients, zoals Safari, en de standaard Androidbrowser kwetsbaar waren. Volgens Microsoft is het probleem ook aanwezig in alle ondersteunde versies van Windows. Om de aanval te laten slagen is het daarnaast vereist dat de server waarmee de gebruiker een beveiligde verbinding opzet "RSA key exchange export ciphers" ondersteunt. Uit onderzoek onder 14 miljoen websites blijkt dat dit bij 36,7% nog het geval is. Verschillende internetbedrijven hebben echter aangegeven deze export-grade-encryptie uit te faseren.

Of Microsoft met een noodpatch voor het probleem komt is nog onbekend. De softwaregigant zegt het probleem te onderzoeken en aan de hand daarvan te beslissen of er een noodpatch verschijnt of de update via de maandelijkse patchcyclus wordt verspreid. Microsoft zegt geen informatie te hebben waaruit zou blijken dat Windowsgebruikers via de kwetsbaarheid zijn aangevallen. In afwachting van de update kunnen Windowsgebruikers de zwakke encryptie zelf uitschakelen. Dit kan er echter voor zorgen dat Windows geen verbinding met systemen kan maken die alleen de zwakke encryptie ondersteunen.

Meer browsers

Onderzoekers stellen op Freakattack.com dat veel meer browsers kwetsbaar zijn dan in eerste instantie werd aangenomen. Op de website is een overzicht van kwetsbare clients te vinden. Het gaat om Internet Explorer, Chrome op Mac OS, Chrome op Android, Safari op Mac OS X, Safari op iOS, de standaard Androidbrowser, Blackberry Browser, Opera op Mac OS X en Opera op Linux. Voor Chrome op Mac OS is inmiddels een update beschikbaar. Updates voor Safari zouden volgende week moeten verschijnen.

Reacties (6)
06-03-2015, 11:18 door Erik van Straten - Bijgewerkt: 06-03-2015, 15:11
Update 2015-03-06 15:11: Microsoft's fix werkt niet, zie https://www.security.nl/posting/420935/#posting420957.

Het lijkt erop dat Microsoft eind 2013 wist dat Schannel EXPORT ciphers nog ondersteunde (terwijl deze niet worden "geadverteerd" in het SSL/TLS Client Hello pakket). In http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx staat namelijk:
12 Nov 2013 10:00 AM, door William Peteroy, MSRC:
Security Advisory 2868725: Recommendation to disable RC4
[...]
How to Completely Disable RC4

Clients and Servers that do not wish to use RC4 ciphersuites, regardless of the other party's supported ciphers, can disable the use of RC4 cipher suites completely by setting the following registry keys. In this manner any server or client that is talking to a client or server that must use RC4, can prevent a connection from happening. Clients that deploy this setting will not be able to connect to sites that require RC4 while servers that deploy this setting will not be able to service clients that must use RC4.

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    "Enabled"=dword:00000000

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    "Enabled"=dword:00000000

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    "Enabled"=dword:00000000
[...]

Interessant is ook het stukje direct daaronder:
How Other Applications Can Prevent the Use of RC4 based Cipher Suites

RC4 is not turned off by default for all applications. Applications that call into SChannel directly will continue to use RC4 unless they opt-in to the security options. Applications that use SChannel can block the use of RC4 cipher suites for their connections by passing the SCH_USE_STRONG_CRYPTO flag to SChannel in the SCHANNEL_CRED structure. If compatibility needs to be maintained, then they can also implement a fallback that does not pass this flag.

Ik heb geen idee welke applicaties allemaal van Schannel gebruik maken en, ook met bovenstaande registry entries, nog RC4 zouden kunnen gebruiken. In de policy beschreven in de gisteren gepubliceerde https://technet.microsoft.com/en-us/library/security/3046015.aspx#ID0EMH komen RC4 cipher suites geheel niet meer voor. Of dit daadwerkelijk betekent dat zowel MSIE als andere applicaties geen RC4 meer kunnen gebruiken, weet ik niet.

Momenteel adverteert MSIE 11 op mijn Win7-64 PC nog de volgende (26) cipher suites in Client Hello pakketjes:
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)
Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)
Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
maar aangezien https://freakattack.com/ meldt dat mijn "browser" kwetsbaar is, worden er kennelijk ook een of meer (hierboven niet genoemde) EXPORT cipher suites ondersteund.
06-03-2015, 11:38 door Anoniem
Wat zou het risico zijn als we eens afwijken van het padje?

Zet op de interne HD Windows (naar keuze) + alle gewenste software (schoon).
Maak een backup en zet die eens per maand of vaker terug.
Start de computer in een “Sandbox”, b.v. TimeFreeze” met internet standaard uit.
Zet alle overige gegevens op een externe HD.

Gebruik altijd deze volgorde (sla over wat niet van toepassing is.)

- start de computer.
- koppel de externe HD doe wat gewenst is.
- ontkoppel de HD.
- maak verbinding met het internet.
- doe alle gevoelige zaken, E-mailen als laatste.
- surf naar hartenlust.
- zet de computer uit, alle veranderingen incl. besmettingen verdwijnen.

Om de veiligheid te verhogen kan de computer, voor het doen van gevoelige zaken, worden gestart met Live Linux.

Vergeet Updates en (virus)scans.
06-03-2015, 12:05 door Erik van Straten - Bijgewerkt: 06-03-2015, 15:14
Update 06-03-2015, 15:14: Het lijkt erop dat de in https://technet.microsoft.com/en-us/library/security/3046015.aspx#ID0EMH genoemde "oplossing" helemaal niet werkt! Voor zover ik begrijp kun je daarmee slechts de volgorde van aangeboden cipher suites wijzigen, je kunt er niks mee uitschakelen.

Uitschakelen kan wel (maar raad ik af, zie verderop) door onder de registry key HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\ de inhoud van value-name "Functions" (type REG_MULTI_SZ) te wijzigen en de PC te rebooten (dat laatste bleek echt nodig). Nadat ik de lijst gewijzgd had in:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
meldde https://freakattack.com/ dat MSIE mogelijk kwetsbaar was en verwees mij door naar https://cve.freakattack.com/. Op die site meldt MSIE nu: This page can’t be displayed.

Dat is geen communicateprobleem, want in Wireshark de server (met IP adres) 141.212.120.76 terugmelden: "Alert (Level: Fatal, Description: Handshake Failure)". Het lijkt er dus inderdaad op dat ik hiermee beschermd ben tegen EXPORT ciphers.

In mijn oude bijdrage (op deze plaats) waarschuwde ik er al voor dat dit vervelende bijwerkingen kon hebben, en inderdaad: hoewel ik met MSIE https://www.security.nl/ nog wel kan bezoeken, gaat dat niet met https://digid.nl/ (omdat die slechts TLS_RSA_* cipher suites ondersteunt). Daarom raad ik deze "fix" af.

Voor de volledigheid mijn oude bijdrage:
06-03-2015, 12:05 door Erik van Straten: Waarschuwing: de in https://technet.microsoft.com/en-us/library/security/3046015.aspx#ID0EMH genoemde "oplossing" is een zeer botte: deze blokkeert alle op RSA gebaseerde cipher suites, slechts DH (Diffie-Hellman) suites werken dan nog. De kans is groot dat je daarmee een flink aantal https sites niet meer kunt bezoeken.

Als test heb ik, met gpedit.msc, uitsluitend de cipher suite TLS_RSA_WITH_AES_128_CBC_SHA toegestaan. Daarmee is MSIE11 (Win7-64) nog steeds kwetsbaar volgens https://freakattack.com/.
06-03-2015, 12:23 door ph-cofi
Is freakattack soms een "feature", waarvan veiligheidsdiensten geen publieke bekendheid hadden gewild?
06-03-2015, 13:41 door Anoniem
1) Als eerder verondersteld eerder deze week lijkt een Firefox browser erbij op zijn minst voor de time being een goede oplossing.
Neem dan de basis Longtime Support ESR versie, zonder toeters en bellen.
Je vind er gelijk ook de hashes om te controleren of je download 'klopt'.

https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/


2) Het maken van een filter en sorteer spreadsheet overzichtje leverde overigens 985 Nederlandse (.nl) domeinen op die volgens de Freakattack site kwetsbaar zouden zijn.
Daar zit van alles en nog wat tussen, ook websites van politieke partijen bijvoorbeeld.

Achter elkaar:

1001spelletjes.nl, 100p.nl, 101tips.nl, 112groningen.nl, 112meldingen.nl, 123tijdschrift.nl, 17020-consultants.nl, 24baby.nl, 24kitchen.nl, 2tag.nl, 4daysoff.nl, 4strings.nl, 8euromail.nl, 999games.nl, aardbevingnl.nl, abc.nl, abnamrowtt.nl, abrona.nl, acquirepublishing.nl, acumulus.nl, acuuthurenbreda.nl, adapterdirect.nl, adblog.nl, adcalls.nl, adfab.nl, adformatie.nl, adslwinkel.nl, adultwebmastertips.nl, adverteren-gratis.nl, aesgroep.nl, af.nl, afjspinhof.nl, afvallengezond.nl, agritrader.nl, ahoy.nl, aichaqandisha.nl, aktiesport.nl, albeka.nl, albertcuypmarkt.nl, alfa-romeo-onderdelen.nl, algebeld.nl, all4games.nl, allecampingsinfrankrijk.nl, allekabels.nl, allesoverkinderen.nl, allesoverrechten.nl, allesvan.nl, alletop10lijstjes.nl, allevrijedagen.nl, allgifts.nl, allroadmaniacs.nl, allunited.nl, alpha-audio.nl, ambrasoft.nl, amnesty.nl, amsterdam-dance-event.nl, androidics.nl, androididee.nl, animalrights.nl, aob.nl, apg.nl, apollyonstore.nl, apssupply.nl, aquaplantsonline.nl, aquarium-decoratie.nl, arbeidsrechter.nl, arganoliediscounter.nl, ariemolenaarmotors.nl, artikeldirectorie.nl, artikelonline.nl, artikelplaats.nl, artikelpost.nl, aryweb.nl, assepoesterfeestkleding.nl, assetfiler.nl, atmadvocaten.nl, audion.nl, autoleasewereld.nl, automotive-online.nl, autosoft.nl, autotrack.nl, avisynth.nl, azor.nl, b2s.nl, babbage.nl, babybrabbel.nl, babycare.nl, backtobasicafslankplan.nl, bagageonline.nl, bagelsbeans.nl, bagoes.nl, bangmaverpakking.nl, baobab.nl, basisschoolnet.nl, basvanschuppen.nl, bataviawerf.nl, bazarrotterdam.nl, beautyjournaal.nl, beeldbankwo2.nl, beenmode.nl, beet.nl, begintgoed.nl, behr.nl, belasting.nl, belbios.nl, belbiosvoordeel.nl, belgoedkoper.nl, belstat.nl, benchkoning.nl, bengshop.nl, benvandijk.nl, bespaarbazaar.nl, bestvooruit.nl, betaaldemails.nl, betekenis-definitie.nl, beterspellen.nl, betondingen.nl, beusekom.nl, bextrainingencoaching.nl, biedex.nl, bikeparts4u.nl, biljartenrotterdam.nl, bimmerportal.nl, binoptie.nl, biosagenda.nl, bitsenbytes-test.nl, bixo.nl, blikopnoordwijkerhout.nl, bliksembeveiliging.nl, blogaholic.nl, bloggendoos.nl, bloggers.nl, blogo.nl, bloon-methode.nl, bluehorizon.nl, bobgroep.nl, bodyfashion-born.nl, bodystore.nl, boei-ict.nl, boekenkast-kopen.nl, boekhoudreviews.nl, boekwinkeltjes.nl, boerderijhazenveld.nl, boerkemutsaers.nl, bogue.nl, borent.nl, bosoffice.nl, bowika.nl, brabantwonen.nl, brandpit.nl, brandunit.nl, bravanlklassiek.nl, briskmagazine.nl, brouwer-vastgoedbeheer.nl, bungalowparkoverzicht.nl, bungalowtrips.nl, buroscanbrit.nl, buurtpreventieboz.nl, by-bar.nl, by-jet.nl, bydanie.nl, bypos.nl, cakesupplies.nl, callvoip.nl, cambiumned.nl, cameratop.nl, camperroute-canada.nl, campsolutions.nl, capestone.nl, capitaselecta.nl, caramelo-media.nl, cargoods.nl, carpartsdirect.nl, catharinaweb.nl, catsone.nl, caveo.nl, cdpost.nl, cgkzwolle.nl, champi.nl, checkstat.nl, chello.nl, chilla.nl, chirurgenoperatie.nl, cinemagazine.nl, climaximaal.nl, clone.nl, clubgeluk.nl, clubron.nl, clzschoolplein.nl, coachinleefstijl.nl, colormesocks.nl, combiwebshop.nl, communicatieonline.nl, complete-encyclopedie.nl, computereindhoven.nl, congreswereld.nl, conquaestor.nl, consumentenvergelijking.nl, contractfordifference.nl, corendon.nl, cottontrends.nl, coveryou.nl, creazione.nl, crime-ware.nl, crimedoespay.nl, crossfitalmere.nl, cu2030.nl, customerpanel.nl, cvster.nl, cvtotaal.nl, dacsi.nl, dadri.nl, dagaanbiedingen.nl, dagkaarttrekken.nl, danenbergshop.nl, datact.nl, davidbloch.nl, deakkerboskoop.nl, debesteleveranciers.nl, dechemie.nl, decoradiatoren.nl, def-shop.nl, dekattensite.nl, dekritischebelegger.nl, delain.nl, deleukstetaartenshop.nl, delfshavenadvocaten.nl, delta-hardware.nl, denieuwezaak.nl, denksport.nl, deondernemer.nl, depers.nl, dertoeere.nl, dertronics.nl, designonline24.nl, detectorplaza.nl, devalkenhorst.nl, dewestkrant.nl, dfbonline.nl, dieetwebshop.nl, dierapotheker.nl, dierenbescherming.nl, difi.nl, digistrip.nl, digitalmonkey.nl, digitalnatives.nl, digitalstreet.nl, dinnersite.nl, djmag.nl, dockdesignshop.nl, dockhouse.nl, documentairenet.nl, documentwereld.nl, domeinenbank.nl, domotica-shop.nl, doraspelletjes.nl, drankdozijn.nl, dreamdealer.nl, droginet.nl, drogista.nl, drogistgigant.nl, dse.nl, dtinterlink.nl, dual-sim.nl, duitsland-reisgids.nl, dutchamsterdam.nl, dutchstart.nl, duurzaambouwloket.nl, e-brands.nl, e-flexer.nl, easycollage.nl, ebook.nl, edarling.nl, eduroute.nl, edwords.nl, egcomputerspecialisten.nl, eigenstart.nl, eigenwebsite.nl, eiland-meisje.nl, eiwitpoeder.nl, ekoplaza.nl, emmymeijer.nl, energiekevrouwenacademie.nl, enqueteplanet.nl, eoo-bv.nl, epn.nl, ermelovannu.nl, ernohannink.nl, ero-discount.nl, erocash.nl, eroticaonline.nl, eroticcinema.nl, erotischegroothandel.nl, eshop.nl, esveld.nl, euro2deal.nl, europafoto.nl, europages.nl, excelboekhouding.nl, excelsior31.nl, exchangelogistics.nl, fabiusopleidingen.nl, faillissementsverslag.nl, fakty.nl, fashionchick.nl, favos.nl, fbg.nl, fcdbfans.nl, fcdordrecht.nl, feestdagen-nederland.nl, feestenindoesburg.nl, femna40.nl, fengshuilifecoach.nl, fietsersbond.nl, filmtotaal.nl, finalwebsites.nl, fisherinvestments.nl, fitforme.nl, fitness-seller.nl, fixt4u.nl, flashpatterns.nl, flavourites.nl, flevoland.nl, flirtmee.nl, foliedealer.nl, foobie.nl, foodlog.nl, foodwelove.nl, foreveruitvaartzorg.nl, foreverzorgadvies.nl, forex-home.nl, forexcoach.nl, forexinfo.nl, forum2go.nl, fotoalbumshop.nl, fotograaf-nederland.nl, fotografille.nl, fotoopcanvas.nl, fotoopglas.nl, fotostudio-breda.nl, franceloc.nl, fredsbouwtekeningen.nl, freya.nl, friendlyhousing.nl, fritzshop.nl, frontaalnaakt.nl, frontrunner.nl, futsal-ltc.nl, gadgetsbestellen.nl, gamecomputers.nl, gameshop.nl, gardenswimm.nl, gator.nl, gedachten-gedichten.nl, geldenondernemen.nl, geldreview.nl, geldvoorelkaar.nl, gemiddeld-inkomen.nl, gereedschapcentrum.nl, ghome.nl, girl-games.nl, gitaartabs.nl, glasvezelgemeente.nl, glasvezelgids.nl, glossymodels.nl, glr.nl, gls-info.nl, goedkoopstevliegtickets.nl, gokkastamigo.nl, golf.nl, google-seo-tool.nl, gostream.nl, goudvergelijken.nl, gpstracks.nl, grandcruwijnen.nl, gratisadviseurs.nl, grensverleggers.nl, groene.nl, grootformaatxp.nl, groupactie.nl, gsm.nl, gsmacties.nl, gsmreparatie.nl, guidovanderleest.nl, happyhome.nl, hardloopaanbiedingen.nl, harendekrant.nl, havasmedia.nl, hays.nl, hbogo.nl, hccdeals.nl, hdci.nl, headliner.nl, headsacademy.nl, heder.nl, helena-schaken.nl, hemaverzekeringen.nl, hemdvoorhem.nl, hendrikscarnaval.nl, herbruikt.nl, hermandenblijker.nl, hertzdahlmediation.nl, hetweeractueel.nl, hifistereo.nl, hiswarai.nl, hivos.nl, hku.nl, hobbygigant.nl, hoefnatuurlijk.nl, hoehoogstaikingoogle.nl, hollandmediacombinatie.nl, hollandse-hoogte.nl, hondenplaza.nl, hondenrijk.nl, hoofdkraan.nl, hostingvergelijken.nl, hotelkamerveiling.nl, hrmdebruijn.nl, hrnetwerk.nl, html-site.nl, hugovandenbos.nl, huishoudbeurs.nl, huistelefoonbestellen.nl, hulpverleningsforum.nl, hypnobese.nl, ibaai.nl, iciparisxl.nl, ictergezocht.nl, id-factory.nl, idoomedia.nl, iedereenehbo.nl, ik-leef.nl, imageserve.nl, imailo.nl, imanager.nl, imgdumper.nl, imnl.nl, indi.nl, infinance.nl, infoeuropa.nl, infomusic.nl, infopolitie.nl, informatieplatform.nl, inone.nl, interieurinspiratie.nl, internetmarketinguniversiteit.nl, into-telecom.nl, intronics.nl, investonline.nl, itnova.nl, its-edulab.nl, ivobeerens.nl, james-tm.nl, jandoets.nl, jazua.nl, jessica-tromp.nl, jlmglas.nl, jobnet.nl, joomla-css.nl, joostdevree.nl, jouwpage.nl, jouwthema.nl, jozefherman.nl, jumper.nl, jungleminds.nl, juwelenplein.nl, kangaro-ktc.nl, karenvoshol.nl, karstenbv.nl, keezenspel.nl, kellys-expat-shopping.nl, kenney.nl, keram.nl, keurigonline.nl, kickingthehabit.nl, kikkergroep.nl, kinderpleinen.nl, kindertube.nl, kish.nl, kitehigh.nl, kittig.nl, kixx-online.nl, klachtenkompas.nl, klepperbelt.nl, kleuterportaal.nl, klikwijzer.nl, kluswijs.nl, knivesandtools.nl, knkv.nl, koolhydraatarmdieetafslanken.nl, koopplein.nl, krabbetukkers.nl, kroese-online.nl, lacebag.nl, lachvandedag.nl, lagelandenklikjes.nl, landrover.nl, landschapnoordholland.nl, lantarenvenster.nl, launchdesk.nl, led-gigant.nl, leejoo.nl, leerwiki.nl, leidenuniv.nl, lijn64.nl, lijstbeheer.nl, likeandlove.nl, lil.nl, limburgvac.nl, linkcorrect.nl, linkgigant.nl, linkgoed.nl, linkhotel.nl, linkkwartier.nl, linkpages.nl, lions.nl, litecoin-koers.nl, loorbachfd.nl, lorentzschool.nl, losseveter.nl, lowcostairlines.nl, luba.nl, lunagang.nl, luxortheater.nl, maandzondersuiker.nl, macaza.nl, madia.nl, madpac.nl, mamaenzo.nl, mamas.nl, managementscope.nl, managersonline.nl, mareonline.nl, margewebshop.nl, marketingonline.nl, marmoucha.nl, mastersinleiden.nl, maxict.nl, mbowijzer.nl, mcvoordieren.nl, mdf.nl, mediacool.nl, mediumchat.nl, medivacature.nl, meenemen.nl, meesteresbianca.nl, meetingpoint.nl, mega-save.nl, merkenmotoren.nl, meubella.nl, meubelpartner.nl, meursonderdelenshop.nl, micoti.nl, midiamsterdam.nl, midwintermarathon.nl, mie.nl, mijn-zwembad.nl, mijnbezorgtijd.nl, mijngame.nl, mijnjoomlaforum.nl, mijnluna.nl, mijntu.nl, mindalive.nl, mineralissima.nl, misterwhat.nl, mkb-webpartner.nl, mkbwebpartner.nl, mm-webmedia.nl, mobiele-telefoons.nl, mobile-harddisk.nl, mooieserver.nl, motivity.nl, motoport.nl, moversshakers.nl, mrsa-net.nl, multipagerank.nl, multizaag.nl, munsterhuis.nl, muziekbanden.nl, muziekweb.nl, mvgm.nl, mvonederland.nl, myoffice.nl, mysites.nl, mysteryland.nl, naaipatronen.nl, nagelkappen.nl, nailcaps.nl, natureathome.nl, nd.nl, nec-nijmegen.nl, nederhost.nl, nederlandfietsland.nl, nederlandseseries.nl, negenmaandenbeurs.nl, neoweb.nl, netspecialist.nl, nettrack.nl, newskoolmedia.nl, nextdeal.nl, ngf.nl, nhl.nl, nhv.nl, nieuwbouw-in-amsterdam.nl, nieuwbouw-nederland.nl, nieuwemensenlerenkennen.nl, nieuwemobiel.nl, nieuwestichting.nl, nieuwstecasinobonus.nl, nijb.nl, njmonline.nl, nlcm.nl, nlpopleidingenwegener.nl, noordhoff.nl, noordhoffuitgevers.nl, nszwolle.nl, nt2taalmenu.nl, nttb.nl, nubeterduits.nl, nubeterengels.nl, nuopnetflix.nl, nuvema.nl, ocai-online.nl, oganweb.nl, olliewood.nl, om-mij.nl, omroepvenray.nl, onderwijsinspectie.nl, onderwijsmaakjesamen.nl, one-stop-webshop.nl, onlilife.nl, online-bijbel.nl, online-velgen.nl, onlineluisteren.nl, onlinestoredianagabriels.nl, onna-onna.nl, onrecruit.nl, onsweb.nl, ontbijtservice-het-hoge-noorden.nl, ontour.nl, ontwerpduo.nl, ontwerpen-voor-geld.nl, opel-forum.nl, opticalexpress.nl, opus.nl, opzijnbest.nl, ortel.nl, ostel.nl, oswshop.nl, oswshop11.nl, oudermatch.nl, outletplaza.nl, outletvoordeelshop.nl, overstapgids.nl, ovinnederland.nl, oypo.nl, paardnatuurlijk.nl, paaspop.nl, pabo.nl, paleo.nl, paradigm-shift-21st-century.nl, parcelinternational.nl, parfumcenter.nl, parkeerlijn.nl, parkwonen-rotterdam.nl, partypakjes.nl, partytentplaza.nl, pateo.nl, pathesneakers.nl, patronenwinkel.nl, patta.nl, paydutch.nl, pcdi.nl, pelgrim.nl, personalgifts.nl, peterhintzen.nl, pfz.nl, phonedata.nl, phxsite.nl, pizzapassie.nl, platendraaier.nl, plus.nl, pn.nl, pneumatiekvoordeel.nl, pocketmonsters.nl, poezenrijk.nl, pomdev.nl, pontmeyer.nl, portecenter.nl, powerhousemusic.nl, prepaidpoint.nl, prettybox.nl, pretwerk.nl, privatescan.nl, procartuning.nl, prodrivetraining.nl, proefabonnementen.nl, profotonet.nl, prognosis.nl, propositions.nl, proskenion.nl, pumbo.nl, puuropreis.nl, pvv.nl, pvvzeeland.nl, pzsignaal.nl, qads6.nl, quwebsite.nl, racefietsblog.nl, raceschool.nl, radio10gold.nl, radiofm.nl, radiohoogezand.nl, rai.nl, rashondenwijzer.nl, re-integratiepartner.nl, realiseerjedroomhuis.nl, rechtswinkel.nl, recruitingroundtable.nl, reishonger.nl, reizenin-nieuw-zeeland.nl, rentallin.nl, retailmail.nl, richardlagendijk.nl, rietveldlicht.nl, rkdocumenten.nl, rntc.nl, rocvantwente.nl, rodjer.nl, rolexforum.nl, rotown.nl, routershop.nl, rug.nl, runnersworld.nl, rushhour.nl, s-bit.nl, salar.nl, saled.nl, sallandcentraal.nl, sameplace.nl, samrecruitment.nl, sanitairtotaal.nl, santander.nl, sargasso.nl, saunakoning.nl, schaakzone.nl, schapenvacht.nl, scheveningenlive.nl, schildersbedrijfvanwinsum.nl, scholenaanzee.nl, schoolbordportaal.nl, schoolkleding.nl, schoolvakanties.nl, schoonepc.nl, scientias.nl, scramble.nl, scrobby.nl, sd-kaart.nl, sdim.nl, searchlite.nl, seatme.nl, secrid.nl, sedigonline.nl, selectcamp.nl, seoshop.nl, seozwolle.nl, sexlinktoevoegen.nl, sextubefilms.nl, sfgame.nl, shareyourstory.nl, sheraton.nl, shirtcity.nl, shirts-bedrukken.nl, shop-by-bar.nl, shopmania.nl, shoptrader.nl, simi-reizen.nl, simonlevelt.nl, sin-online.nl, sitedeals.nl, ska.nl, skodaforum.nl, slaafvooreendag.nl, sleepinglion.nl, smart-im.nl, smartim.nl, smartinternetmedia.nl, sneap.nl, sneleuro.nl, soccernews.nl, socialmediasocialmedia.nl, sorgente.nl, spaarbaak.nl, spaarcentje.nl, speele.nl, speelgoedfamilie.nl, spelle.nl, spellenservice.nl, spiritueel-pendelen.nl, sportlandgoed.nl, sportschoolhsw.nl, spotonmedics.nl, spulgoed.nl, spw.nl, stamboomfamilie.nl, standaardbv.nl, startbewijs.nl, startparade.nl, startplezier.nl, stationsweb.nl, steigerbuis-online.nl, stemwijzer.nl, stichtingnatuurbehoudgrootemelanen.nl, stoasvilentum.nl, stoffenspektakel.nl, stormmc.nl, strawberryseo.nl, struijkstruijk.nl, studenten-zorgverzekeringen.nl, studereninleiden.nl, summa-techniek.nl, summacollege.nl, sunstart.nl, surfweer.nl, surprisetickets.nl, svcassidy.nl, svzsolutions.nl, swif.nl, swifpreview.nl, swiftest1.nl, synology-forum.nl, t-nederland.nl, te-les-koop.nl, tech-notes.nl, tegelrijk.nl, telefoonnummer247.nl, telstarstore.nl, terradon.nl, terraweb.nl, test-madia.nl, teylersmuseum.nl, theaterkrant.nl, themagroup.nl, thewhiskies.nl, ticketvoordeel.nl, tienvooracht.nl, tio.nl, tipjes.nl, toernooiklapper.nl, toezine.nl, togetherabroad.nl, tonnyloorbach.nl, topgear.nl, topografie-nederland.nl, topsnowshop.nl, totalidentity.nl, tpvlighting.nl, tractorfan.nl, treinreiswinkel.nl, trendmusic.nl, trouwplannen.nl, trsnet.nl, trswitgoed.nl, tuinadvies.nl, tuincentrum-peeters.nl, tuinen.nl, tuinenbouwmarkt.nl, tvprinsenbeek.nl, tweewielersbisschops.nl, twinfield.nl, twinklemagazine.nl, twiskbv.nl, twittehuis.nl, twokings.nl, twolefthands.nl, uitgids.nl, uitlaatdiscounter.nl, underware.nl, undutchables.nl, uniforce.nl, unovia.nl, upc.nl, upcbusiness.nl, utrechtsummerschool.nl, v-bal.nl, vacanceselect.nl, van-doorn.nl, vanastenbabysuperstore.nl, vandaagopstap.nl, vanderlinden.nl, vanderwurp.nl, vandoornmakelaardij.nl, vanhoofschoenmode.nl, vastgoedbeschermer.nl, veiligheids-trainingen.nl, veilingnotaris.nl, velgenshop.nl, verandervanprovider.nl, verbrugh.nl, vergelijkerz.nl, verhuuradministratie.nl, vertelhetmaar.nl, viata.nl, victoriamilan.nl, vinddirect.nl, vindwel.nl, vitamine-info.nl, vliegennaar.nl, voipshop.nl, volare-kinderfietsen.nl, voorhoede.nl, voornamelijk.nl, vosabb.nl, vrouwenzaken.nl, vumc.nl, vvtool.nl, w3masters.nl, w4kangoeroe.nl, waardewebsitebepalen.nl, waarschijntdezonwel.nl, waschbaer.nl, watch2day.nl, watermelder-expert.nl, wazzup.nl, we12travel.nl, web.nl, webcijfers.nl, webgidsje.nl, webpet.nl, websiteforum.nl, websitestekoop.nl, webstekker.nl, webton.nl, webwinkelblog.nl, webwinkelopzetten.nl, webwinkelsoftware.nl, weekplay.nl, weethetsnel.nl, weltevree.nl, wereldwijzer.nl, werkenbijbigbazar.nl, werkenbijblokker.nl, werkenbijkruidvat.nl, werkenmettalenten.nl, wewillcare.nl, whitelinefirm.nl, wijninfo.nl, winst.nl, wintax.nl, wjbruggeman.nl, woningsnel.nl, woodprotects.nl, woondetective.nl, woonservicedenbosch.nl, woonsquare.nl, wordfeudwoorden.nl, worldstream.nl, wr.nl, x-toys.nl, x264.nl, xel.nl, xentronix.nl, xmlhosting.nl, xnotebooks.nl, xzavier.nl, yics.nl, yoursexylingerie.nl, yourunderwearstore.nl, zadenkopenonline.nl, zakelijk.nl, zaplog.nl, zapruder.nl, zen.nl, ziggodome.nl, zintuig.nl, zodiac.nl, zoekeenboek.nl, zoekvinden.nl, zomoto.nl, zonatlas.nl, zoover.nl, zorguniversiteit.nl, zwangerschapspagina.nl, zwerfkei.nl, zzpb.nl

Doe er in positieve zin je voordeel of een ander/betreffende website houder er een plezier mee.
06-03-2015, 14:36 door Anoniem
Stemwijzer.nl staat ook (onterecht?) op de lijst met nl websites.

Wat me echter meer verontrust is dat een dergelijke site helemaal geen https aanbiedt voor dit soort enquêtes!
Doorgeklikt vanaf stemwijzer.nl op zoek naar de daadwerkelijke enquête in de hoop toch een https verbinding aan te treffen, brengt mij op deze http link van de enenquête :
http://eerstekamer.stemwijzer.nl/
Dan speelt weliswaar (opmerkelijk genoeg) de Freak kwetsbaarheid ook niet (recent snel omgezet naar http?) maar is er wel weer iets anders om je druk over te maken, namelijk helemaal geen versleutelde verbinding!

Eigenlijk zou je dit soort online zaken via een goede anonimiserings service/oplossing moeten doen.
De combinatie van jouw ip adres en politieke voorkeuren, wie gaat dat eigenlijk allemaal aan?
Je weet het niet, je hebt geen idee.
Waarom niet? (buiten de onversleutelde verbinding)
Omdat er bijvoorbeeld helemaal geen privacy policy te vinden is!
Maar ja, wie let daar nog op en kijkt daarnaar tegenwoordig?

Zullen we ook maar helemaal ophouden ons nog druk te maken over de veiligheid en privacy bij digitale stemmachines?
O, dat deden we al niet meer.

Privacy & https?
Lekker belangrijk!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure