image

IE11 op Windows 7 en 8.1 uitgerust met HSTS-beveiliging

woensdag 10 juni 2015, 11:25 door Redactie, 11 reacties

Internet Explorer 11 op Windows 7 en 8.1 zijn van een beveiligingsmaatregel voorzien die volgens Microsoft gebruikers tegen verschillende soorten man-in-the-middle-aanvallen moet beschermen. Het gaat om HTTP Strict Transport Security (HSTS), dat ook in Windows 10 aanwezig zal zijn.

HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. Volgens Microsoft moet dit gebruikers tegen man-in-the-middle-aanvallen beschermen waarbij TLS uit de communicatie met een server wordt verwijderd, waardoor de gebruiker kwetsbaar is.

Update

Met de IE-update van deze maand (KB 3058515) beschikt IE11 nu ook over HSTS. Het is vervolgens aan websites om HSTS te implementeren. Iets dat ontwikkelaars kunnen doen door zich in te schrijven voor een "HSTS preloadlijst" die Microsoft Edge, Internet Explorer en andere browsers gebruiken, om zo het HTTP-verkeer naar HTTPS door te sturen. De lijst die Microsoft gebruikt is op de lijst van Chromium gebaseerd. Websites die niet op deze lijst staan kunnen HSTS via de Strict-Transport-Security HTTP header inschakelen.

Na een eerdere HTTPS-verbinding van de browser die de HSTS-header bevat, zullen alle volgende HTTP-verbindingen via HTTPS lopen. Microsoft merkt op dat gemengde content niet wordt ondersteund op servers die HSTS ondersteunen. Gemengde content, waarbij er bijvoorbeeld afbeeldingen en advertenties via HTTP op een HTTPS-site worden geladen, zullen altijd worden geblokkeerd. De gebruiker krijgt vervolgens via de informatiebalk een melding of hij de gemengede content wil laden.

Reacties (11)
10-06-2015, 13:00 door Anoniem
Eindelijk dit zouden alle browsers al jaren moeten hebben. Nu moet men het zien te redden met externe plugins die niet altijd even betrouwbaar hoeven te zijn.
10-06-2015, 14:30 door Anoniem
quote]Door Anoniem: Eindelijk dit zouden alle browsers al jaren moeten hebben. Nu moet men het zien te redden met externe plugins die niet altijd even betrouwbaar hoeven te zijn.[/quote]
Andere browsers zoals Firefox en Chromium hebben dit al jaren.

Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan.
(Bron quote: Browser vergelijkingstest Computer Totaal van dit jaar.)

Microsoft is zoals gewoonlijk weer de laatste, in Nederland zeggen we dan de "allerlaatste", om zo'n belangrijke maatregel te implementeren.

Het is niet erg er geen verstand van te hebben, maar stel dan vragen en ga geen totale onzin uitkramen.
10-06-2015, 20:22 door Anoniem
Door Anoniem: quote]Door Anoniem: Eindelijk dit zouden alle browsers al jaren moeten hebben. Nu moet men het zien te redden met externe plugins die niet altijd even betrouwbaar hoeven te zijn.

Andere browsers zoals Firefox en Chromium hebben dit al jaren.

Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan.
(Bron quote: Browser vergelijkingstest Computer Totaal van dit jaar.)

Microsoft is zoals gewoonlijk weer de laatste, in Nederland zeggen we dan de "allerlaatste", om zo'n belangrijke maatregel te implementeren.

Het is niet erg er geen verstand van te hebben, maar stel dan vragen en ga geen totale onzin uitkramen.[/quote]
Maarja, het is nog steeds makkelijk te omzeilen, je hoeft alleen de hostname te veranderen d.m.v een MITM aanval. Het wordt dan wel moeilijker gemaakt, maar zo erg is het ook niet dat IE hier nu pas mee komt.
10-06-2015, 22:26 door Anoniem
Update kb3058515 deugt niet,
als je deze update installeerd werkt je iexplorer dus niet meer he.
als je bijvoorbeeld www.telegraaf.nl neemt zie je wel de mainpage
en als je een link ( nextpage wil ) werkt het niet
iexplorer crashd enorm, kan het alleen afsluiten met takenbeheer
ook andere sites werken niet, bij 2 of 3 tabbladen werkt explorer ook niet crash'd
als je deze Update weer verwijderd en windows herstart,
werkt iexplorer weer als van ouds.
leuk die security updates van MS maar zorg dan ook dat alles goed werkt.
als mensen problemen hebben met hun iexplorer verwijder dan deze
update kb3058515.
en alles werkt weer correct
greetzzzzzz
10-06-2015, 23:26 door Anoniem
@ Anoniem 20:22.

Maarja, het is nog steeds makkelijk te omzeilen, je hoeft alleen de hostname te veranderen d.m.v een MITM aanval.

U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.

Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.

Public key pinning prevents man-in-the-middle attacks:

https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
10-06-2015, 23:59 door Anoniem
na deze update werkte bij mij google vertalen niet meer
11-06-2015, 07:03 door karma4
Wat als ontwerp van de Encryption een faal vanaf het begin zijn: is
1/ het moeten vetrouwen van een voor jou onbekende instantie zonder verdere controle. Diginotar superfijn zijn de bekende voorbeelden waar het mis ging. Voor het totaalplaatje zouden alle onbekende faalt mit misbruik bekend moeten zijn.
2/ om webverkeer op malware etc te controleren wordt vrolijk beweerd dat décrypte daarvoor mogelijk gemaakt moet worden.
11-06-2015, 10:52 door Anoniem
Door Anoniem: quote]Door Anoniem: Eindelijk dit zouden alle browsers al jaren moeten hebben. Nu moet men het zien te redden met externe plugins die niet altijd even betrouwbaar hoeven te zijn.

Andere browsers zoals Firefox en Chromium hebben dit al jaren.

Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan..[/quote]
En het is ook goed om het hele plaatje te schetsen: HSTS werkt pas als zowel de browser als de websites meewerken. En aangezien het aantal websites dat HSTS doet microscopisch klein was (en nog altijd zeer beperkt is), stond HSTS ondersteuning laag op het todo-lijstje voor IE.

Dus ja, Chrome en FF ondersteunen al lang HSTS, en dat is op zich mooi, maar de praktische waarde was uiterst beperkt.
11-06-2015, 10:55 door Anoniem
Door Anoniem: @ Anoniem 20:22.

Maarja, het is nog steeds makkelijk te omzeilen, je hoeft alleen de hostname te veranderen d.m.v een MITM aanval.

U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.

Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.

Public key pinning prevents man-in-the-middle attacks:

https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

Public Key Pinning kan al geruime tijd voor IE met behulp van EMET. Simpelweg installeren en de bekende websites (google, yahoo, etc) zijn al beschermd.

EMET is sowieso een goed idee om te installeren voor alle PC-gebruikers.
14-06-2015, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: quote]Door Anoniem: Eindelijk dit zouden alle browsers al jaren moeten hebben. Nu moet men het zien te redden met externe plugins die niet altijd even betrouwbaar hoeven te zijn.

Andere browsers zoals Firefox en Chromium hebben dit al jaren.

Het is juist "Microsoft die al jaren achter de feiten aanloopt met hun browser" en hun gebruikers qua veiligheid in de kou laat staan..

En het is ook goed om het hele plaatje te schetsen: HSTS werkt pas als zowel de browser als de websites meewerken. En aangezien het aantal websites dat HSTS doet microscopisch klein was (en nog altijd zeer beperkt is), stond HSTS ondersteuning laag op het todo-lijstje voor IE.

Dus ja, Chrome en FF ondersteunen al lang HSTS, en dat is op zich mooi, maar de praktische waarde was uiterst beperkt.[/quote]

Dat ziet u toch helemaal verkeerd.

Niet op alle sites is HSTS van levensbelang.
Dat er op op miljoenen game, klets etc. sites geen HSTS support is, zal de meeste gebruikers worst wezen.
Daar is het ook niet belangrijk.

Bij internetbankieren is het wel even anders, daar is het van het hoogste belang.
ALLE banken ondersteunen al jaren dit protocol. Maar Microsoft liet je mooi in de steek.
Het is een van de vele redenen waarom internet bankieren met IE werd afgeraden. (Zie de Wiki over MITM.)
Het is ook DE reden waarom MS daar nu wel mee komt. (Zie ook hier de Wiki over MITM.)

Als u een goed plaatje wilt schetsen moet u zich toch echt eerst beter op de hoogte stellen en niet met
FUD en aannames over Microsoft komen.
14-06-2015, 18:37 door Anoniem
Door Anoniem:
Door Anoniem: @ Anoniem 20:22.

Maarja, het is nog steeds makkelijk te omzeilen, je hoeft alleen de hostname te veranderen d.m.v een MITM aanval.

U bent ook niet goed op de hoogte want dat is ook weer een probleem wat alleen speelt bij Microsoft's I.E.

Tegen deze MITM aanval hebben Google Chrome en Firefox een systeem van "Public Key Pinning".
Iets waar Microsoft ooit ook eens mee zal komen.

Public key pinning prevents man-in-the-middle attacks:

https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

Public Key Pinning kan al geruime tijd voor IE met behulp van EMET. Simpelweg installeren en de bekende websites (google, yahoo, etc) zijn al beschermd.

EMET is sowieso een goed idee om te installeren voor alle PC-gebruikers.

Denk eens na.
Als EMET echt de problemen met IE zou oplossen waarom zou MS dan zo'n moeite doen om hun browser aan te passen?

Heeft u een linkje waar staat dat een aanval, waar dan ook, wat dan ook, werd afgeslagen of gemitigeerd door EMET?

Tot nu toe heeft EMET NIETS voorkomen, anders had MS dat wel rondgebazuind en standaard in Windows 10 ingebouwd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.