Security Professionals
- ipfw add deny all from eindgebruikers to any
Webdesign en websecurity
13-02-2016, 22:12 door Anoniem, 6 reacties
Kan vormgeving van invloed zijn op websitesecurity?
[ ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
Middels een gekopieerde website onder een iets andere domeinnaam bijvoorbeeld?
[ ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Er is ten dele al aandacht voor bij bijvoorbeeld SIDN en gerelateerde partners.
Zie het nieuwsbericht en de reacties onder :
https://www.security.nl/posting/425621/SIDN+lanceert+bewakingsservice+voor+domeinnamen
Het lijkt erop dat dat toch heel misschien nog wel beter kan.
Een nadere illustratie van die problematiek vindt je hier :
http://www.imgdumper.nl/uploads9/56bf99720dc2b/56bf9971a630e-vormgevingensecurity.jpg
Doe met de inzichten je positieve voordelen en wijs mensen in je omgeving op het feit hoe belangrijk basis kennis rondom security bij het bezoeken van een beveiligde website is.
Opdat je niet alleen afhankelijk bent van organisaties die misbruik wel monitoren maar mogelijk niet tijdig of publieksbreed genoeg waarschuwen!
Een goedbedoelde waarschuwing in een vorm ter lering en wellicht vermaak.
[ ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
Middels een gekopieerde website onder een iets andere domeinnaam bijvoorbeeld?
[ ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Er is ten dele al aandacht voor bij bijvoorbeeld SIDN en gerelateerde partners.
Zie het nieuwsbericht en de reacties onder :
https://www.security.nl/posting/425621/SIDN+lanceert+bewakingsservice+voor+domeinnamen
Het lijkt erop dat dat toch heel misschien nog wel beter kan.
Een nadere illustratie van die problematiek vindt je hier :
http://www.imgdumper.nl/uploads9/56bf99720dc2b/56bf9971a630e-vormgevingensecurity.jpg
Doe met de inzichten je positieve voordelen en wijs mensen in je omgeving op het feit hoe belangrijk basis kennis rondom security bij het bezoeken van een beveiligde website is.
Opdat je niet alleen afhankelijk bent van organisaties die misbruik wel monitoren maar mogelijk niet tijdig of publieksbreed genoeg waarschuwen!
Een goedbedoelde waarschuwing in een vorm ter lering en wellicht vermaak.
Reacties (6)
T.a.v.
https://www.security.nl/posting/425621/SIDN+lanceert+bewakingsservice+voor+domeinnamen
Een deel van de lange discussie is daar inmiddels weggevallen.
Hierbij een deel (geanonimiseerd) van de relevante informatie die destijds door een expert in aanvulling werd gegeven bij het artikel en in de uitgebreide vragen en discussie daarop ontstond in de reacties.
'Ergens' instekende in de discussie die niet meer zichtbaar is maar wel heel erg relevant voor security.
Datzelfde kan worden gezegd over registrars. Bovendien verantwoord SIDN zich wel degelijk. Daarnaast, ik schreef het al, is het allemaal wat complexer dan jij doet voorkomen. Zowel juridisch als technisch.
Ik geef je wat voorbeelden:
Is 'mediamarktoutlet.nl' een malafide-domein en kun je dat al bij registratie (dus op voorhand) weten?
En zou 'belastingdiens.nl' (zonder de 't') moeten worden geblokkeerd? Dat is overigens een domeinnaam die het hier genoemde DBS voor de belastingdienst zou kunnen rapporteren, maar dat terzijde.
En 'denieuwepas.nl'? Kun je daar meteen van zeggen dat die malafide is? Dat blijkt pas als er DNS-vragen in de trend van 'https-bankieren.denieuwepas.nl' op binnenkomen.
Bovendien zitten de meeste phishes in .nl gewoon 'onder' reguliere domeinnamen en niet in speciaal geprepareerde namen.
Dus bijvoorbeeld: http://https.www.paypal.com.cgn.capersonal-datasecureisow-secure.paypal.example.nl/blah/secure/index.php
Komt veel vaker voor (niet in de laatste plaats omdat hosters niet allemaal even hard lopen met het veilig houden van hun omgevingen).
...
...
Huidige problemen hebben dus de volle aandacht van SIDN en anderen maar een en ander was nog wel aan verfijning toe waaraan men werkt.
In de tussentijd (of altijd) is het zeker niet onbelangrijk dat gebruikers en website eigenaren zelf heel goed opletten.
https://www.security.nl/posting/425621/SIDN+lanceert+bewakingsservice+voor+domeinnamen
Een deel van de lange discussie is daar inmiddels weggevallen.
Hierbij een deel (geanonimiseerd) van de relevante informatie die destijds door een expert in aanvulling werd gegeven bij het artikel en in de uitgebreide vragen en discussie daarop ontstond in de reacties.
'Ergens' instekende in de discussie die niet meer zichtbaar is maar wel heel erg relevant voor security.
Gisteren, 08:44 door [XXXXX] - Bijgewerkt: Gisteren, 09:11
Kan het zijn dat jij je baseert op een of meerdere persoonlijke ervaringen uit het verleden? Die zijn niet representatief voor de algehele situatie. SIDN onderneemt wel degelijk (en effectief) actie.
...
SIDN faalt enorm door niet te reageren op abusemeldingen en door geen gepaste actie te nemen.
Kan het zijn dat jij je baseert op een of meerdere persoonlijke ervaringen uit het verleden? Die zijn niet representatief voor de algehele situatie. SIDN onderneemt wel degelijk (en effectief) actie.
...
Doelbewust geregistreerde phishing domeinen horen niet te worden geserveerd en SIDN dient zich maatschappelijk te verantwoorden als ze meent daar geen effectieve actie op te hoeven ondernemen.
Datzelfde kan worden gezegd over registrars. Bovendien verantwoord SIDN zich wel degelijk. Daarnaast, ik schreef het al, is het allemaal wat complexer dan jij doet voorkomen. Zowel juridisch als technisch.
Ik geef je wat voorbeelden:
Is 'mediamarktoutlet.nl' een malafide-domein en kun je dat al bij registratie (dus op voorhand) weten?
En zou 'belastingdiens.nl' (zonder de 't') moeten worden geblokkeerd? Dat is overigens een domeinnaam die het hier genoemde DBS voor de belastingdienst zou kunnen rapporteren, maar dat terzijde.
En 'denieuwepas.nl'? Kun je daar meteen van zeggen dat die malafide is? Dat blijkt pas als er DNS-vragen in de trend van 'https-bankieren.denieuwepas.nl' op binnenkomen.
Bovendien zitten de meeste phishes in .nl gewoon 'onder' reguliere domeinnamen en niet in speciaal geprepareerde namen.
Dus bijvoorbeeld: http://https.www.paypal.com.cgn.capersonal-datasecureisow-secure.paypal.example.nl/blah/secure/index.php
Komt veel vaker voor (niet in de laatste plaats omdat hosters niet allemaal even hard lopen met het veilig houden van hun omgevingen).
...
...
Vandaag, 13:36 door [XXXXX] - Bijgewerkt: Vandaag, 14:12
....
Even kijken of ik je goed begrijp.
Als je geen DBS-abonnement hebt, en je merknaam is 'example' en bij SIDN wordt 'example-variant.nl' geregistreerd. Dan doet SIDN niks. De registratie wordt in principe gewoon geaccepteerd.
Als je hier alsnog 'toevallig' achterkomt, zijn dit je mogelijkheden:
https://www.sidn.nl/a/nl-domeinnaam/inbreuk-op-rechten
https://www.sidn.nl/a/nl-domeinnaam/klacht-over-domeinnaam
https://www.sidn.nl/a/nl-domeinnaam/klacht-over-inhoud-website
(er is nog veel meer op de sidn.nl site te lezen over de achtergronden van SIDN's liberale registratie-beleid, mocht je daar interesse in hebben)
Als je wel een abonnement hebt, krijg je een bericht (niet meer, niet minder - de registratie en delegatie worden ongemoeid gelaten). Het voordeel is dat je direct weet of bijvoorbeeld je merknaam wordt misbruikt of dreigt te worden misbruikt en dat je daar dus snel actie op kunt ondernemen. Het zal je niet verbazen dat er banken zijn die van deze dienst gebruik maken, maar ook de overheid is er blij mee:
http://www.communicatierijk.nl/vakkennis/r/rijkswebsites-aanbevolen-dienstverlening/inhoud /domeinnaambewakingsservice-dbs
Registratie-aanvragen voor 'https-bankieren.example-variant.nl' zullen bij SIDN niet binnen komen, want dat is een third- level. SIDN ontvangt enkel registraties voor "secondlevel.nl". Echter, DNS-queries voor 'https-bankieren.example-variant.nl' ziet SIDN mogelijk wel. Ook hier doet SIDN niets mee. Maar het SIDN Labs R&D-team doet wel onderzoek naar dit soort fenomenen en bekijkt of dit informatie is waarmee het internet nog veiliger kan worden gemaakt. Het Labs-team doet nog aanzienlijk meer. Er wordt bijvoorbeeld gekeken naar afwijkend gedrag (een nachtelijke registratie uit China, door een registrar die normaal alleen tijdens kantoortijden vanuit Nederland registreert, is verdacht - dat soort zaken). Dit valt onder het SIEM-project. Ook doet SIDN Labs ander anomalie-detectie onderzoek. Denk bijvoorbeeld aan afwijkende DNS-query patronen voor domeinnamen die normaal gesproken nauwelijks verkeer genereren. Daarmee kan in een heel vroeg stadium badness worden ontdekt (namelijk op het moment dat de phishing-mails worden verzonden en mensen op de meegezonden URL's beginnen te klikken). Tenslotte worden uit DNS-data botnet-clients gehaald, bijvoorbeeld spambot- clients. Dat is informatie die aan de Abuse Information Exchange kan worden doorgegeven, als aan bepaalde (privacy-)voorwaarden is voldaan.
SIDN speurt ook actief naar phishing en malware onder .nl-domeinnamen en geeft daarvan de registrar onverwijld een melding (met het verzoek adequate actie te ondernemen). Er wordt ook gevolgd of wat met die melding wordt gedaan. Dit geeft een goed beeld over de kwaliteit en snelheid bij verschillende hosting-providers. Deze activiteiten vallen onder het Abuse-to-zero-for-nl programma (abuse204nl). Vaak is zo'n melding de deur al uit, voordat derden erover naar onze abuse-desk mailen.
Zie ook:
https://www.sidn.nl/a/kennis-en-ontwikkeling/sidn-labs
en
https://www.sidnlabs.nl/laatste-berichten/nieuwsdetail/article/dns-big-data-bij-sidn-labs/
En zie ook:
https://www.sidn.nl/a/veilig-internet/veilig-nl
........
1) Wat doet SIDN voor mij als ik bijvoorbeeld als bank-bedrijf houder zou zijn van het domein denieuwepas.nl, geen Domeinnaambewakingsservice-abbonnement heb afgesloten bij SIDN en er bij SIDN een signaal afgaat op een ingekomen domein aanvraag met een variatie als gesteld in je eerdere voorbeeld ? (voor de eenvoud met een kleine praktische realistischer wijziging naar een aanvraag op domein https-bankieren- denieuwepas.nl).
Even kijken of ik je goed begrijp.
Als je geen DBS-abonnement hebt, en je merknaam is 'example' en bij SIDN wordt 'example-variant.nl' geregistreerd. Dan doet SIDN niks. De registratie wordt in principe gewoon geaccepteerd.
Als je hier alsnog 'toevallig' achterkomt, zijn dit je mogelijkheden:
https://www.sidn.nl/a/nl-domeinnaam/inbreuk-op-rechten
https://www.sidn.nl/a/nl-domeinnaam/klacht-over-domeinnaam
https://www.sidn.nl/a/nl-domeinnaam/klacht-over-inhoud-website
(er is nog veel meer op de sidn.nl site te lezen over de achtergronden van SIDN's liberale registratie-beleid, mocht je daar interesse in hebben)
Als je wel een abonnement hebt, krijg je een bericht (niet meer, niet minder - de registratie en delegatie worden ongemoeid gelaten). Het voordeel is dat je direct weet of bijvoorbeeld je merknaam wordt misbruikt of dreigt te worden misbruikt en dat je daar dus snel actie op kunt ondernemen. Het zal je niet verbazen dat er banken zijn die van deze dienst gebruik maken, maar ook de overheid is er blij mee:
http://www.communicatierijk.nl/vakkennis/r/rijkswebsites-aanbevolen-dienstverlening/inhoud /domeinnaambewakingsservice-dbs
Registratie-aanvragen voor 'https-bankieren.example-variant.nl' zullen bij SIDN niet binnen komen, want dat is een third- level. SIDN ontvangt enkel registraties voor "secondlevel.nl". Echter, DNS-queries voor 'https-bankieren.example-variant.nl' ziet SIDN mogelijk wel. Ook hier doet SIDN niets mee. Maar het SIDN Labs R&D-team doet wel onderzoek naar dit soort fenomenen en bekijkt of dit informatie is waarmee het internet nog veiliger kan worden gemaakt. Het Labs-team doet nog aanzienlijk meer. Er wordt bijvoorbeeld gekeken naar afwijkend gedrag (een nachtelijke registratie uit China, door een registrar die normaal alleen tijdens kantoortijden vanuit Nederland registreert, is verdacht - dat soort zaken). Dit valt onder het SIEM-project. Ook doet SIDN Labs ander anomalie-detectie onderzoek. Denk bijvoorbeeld aan afwijkende DNS-query patronen voor domeinnamen die normaal gesproken nauwelijks verkeer genereren. Daarmee kan in een heel vroeg stadium badness worden ontdekt (namelijk op het moment dat de phishing-mails worden verzonden en mensen op de meegezonden URL's beginnen te klikken). Tenslotte worden uit DNS-data botnet-clients gehaald, bijvoorbeeld spambot- clients. Dat is informatie die aan de Abuse Information Exchange kan worden doorgegeven, als aan bepaalde (privacy-)voorwaarden is voldaan.
SIDN speurt ook actief naar phishing en malware onder .nl-domeinnamen en geeft daarvan de registrar onverwijld een melding (met het verzoek adequate actie te ondernemen). Er wordt ook gevolgd of wat met die melding wordt gedaan. Dit geeft een goed beeld over de kwaliteit en snelheid bij verschillende hosting-providers. Deze activiteiten vallen onder het Abuse-to-zero-for-nl programma (abuse204nl). Vaak is zo'n melding de deur al uit, voordat derden erover naar onze abuse-desk mailen.
Zie ook:
https://www.sidn.nl/a/kennis-en-ontwikkeling/sidn-labs
en
https://www.sidnlabs.nl/laatste-berichten/nieuwsdetail/article/dns-big-data-bij-sidn-labs/
En zie ook:
https://www.sidn.nl/a/veilig-internet/veilig-nl
Vandaag, 14:26 door [XXXXX] - Bijgewerkt: Vandaag, 14:27
Ik zie 'm nu (pas) ja. Verhaal blijft gelijk, SIDN zou deze registratie accepteren. Er wordt wel nagedacht over een AI-achtig feedback-mechanisme voor de registrar in de trend van: "beste registrar, we hebben redenen om aan te nemen dat deze registratie verdacht is, wil je er nog eens extra goed naar kijken?" (want ook registrars nemen registraties dikwijls klakkeloos aan). Geldt overigens ook voor domeinnamen die bijvoorbeeld worden geregistreerd om te dienen als C&C-systeem voor botnets (vaak random-strings of strings volgens een bepaald DGA-algoritme). Maar dit systeem is nog in ontwikkeling.
voor de eenvoud met een kleine praktische realistischer wijziging naar een aanvraag op domein https-bankieren- denieuwepas.nl ". Dat maakt mijns inziens dat domein in zelfstandige zin gewoon als 1 geheel direct registreerbaar, de naam is dan eveneens second level.
Ik zie 'm nu (pas) ja. Verhaal blijft gelijk, SIDN zou deze registratie accepteren. Er wordt wel nagedacht over een AI-achtig feedback-mechanisme voor de registrar in de trend van: "beste registrar, we hebben redenen om aan te nemen dat deze registratie verdacht is, wil je er nog eens extra goed naar kijken?" (want ook registrars nemen registraties dikwijls klakkeloos aan). Geldt overigens ook voor domeinnamen die bijvoorbeeld worden geregistreerd om te dienen als C&C-systeem voor botnets (vaak random-strings of strings volgens een bepaald DGA-algoritme). Maar dit systeem is nog in ontwikkeling.
Huidige problemen hebben dus de volle aandacht van SIDN en anderen maar een en ander was nog wel aan verfijning toe waaraan men werkt.
In de tussentijd (of altijd) is het zeker niet onbelangrijk dat gebruikers en website eigenaren zelf heel goed opletten.
14-02-2016, 16:20 door
karma4
Kan vormgeving van invloed zijn op websitesecurity?
[X] Ja
Neem als voorbeeld het flashgebruik. Het is gedreven vanuit vormgeving, niet vanuit. security. Er zijn genoeg andere voorbeelden in de zelfde hoek te vinden. Ik denk even aan de wordpress sites. Het zal even zoeken zijn naar andere.
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
[X] Ja
Die SIDN is een beetje banaal op 1 onderwerp (DNS). Een goede herkenbare makkelijk te typen naam als DNS die consequent gebruikt zou al veel kunnen doen.
Speer-pishing en de andere eenvoudigere pishing vormen zijn nooit volledig uit te sluiten. Een goede herkenbaarheid met consequente benadering helpt. Banken die zeggen dat ze nooit contact met hun klanten opnemen zijn een voorbeeld van slechte herkenbaarheid en inconsequent gedrag. Dan wordt het lastig voor elke betrokkene. Je kan niet alles voor zijn. Denk aan de politicis Ton Elias die niet in staat was de microsoft pishing te plaatsen.
Er zijn helaas mensen die van alles geloven en met vreemde complottheorien aan gang zijn.
[X] Ja
Neem als voorbeeld het flashgebruik. Het is gedreven vanuit vormgeving, niet vanuit. security. Er zijn genoeg andere voorbeelden in de zelfde hoek te vinden. Ik denk even aan de wordpress sites. Het zal even zoeken zijn naar andere.
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
[X] Ja
Die SIDN is een beetje banaal op 1 onderwerp (DNS). Een goede herkenbare makkelijk te typen naam als DNS die consequent gebruikt zou al veel kunnen doen.
Speer-pishing en de andere eenvoudigere pishing vormen zijn nooit volledig uit te sluiten. Een goede herkenbaarheid met consequente benadering helpt. Banken die zeggen dat ze nooit contact met hun klanten opnemen zijn een voorbeeld van slechte herkenbaarheid en inconsequent gedrag. Dan wordt het lastig voor elke betrokkene. Je kan niet alles voor zijn. Denk aan de politicis Ton Elias die niet in staat was de microsoft pishing te plaatsen.
Er zijn helaas mensen die van alles geloven en met vreemde complottheorien aan gang zijn.
Door Anoniem: Kan vormgeving van invloed zijn op websitesecurity?
[X ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
[X ] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Duidelijk, als jij als vormgever het mogelijk maakt om op elke pagina b.v. in te loggen i.p.v. een dedicated pagina daarvoor maakt (kijk maar af bij de banken) dan maak je de kans op problemen daarmee groter.
Ook z'n mooie is: 'beheerder inlog' in vormgeving verwerken.
Of gebruik van plugin's (Java, Flash, Silverlight) verplicht te maken.
Maak je daarnaast ook nog HTML of CSS, dan wordt de kans op beveiligingsproblemen die jij kunt introduceren steeds groter.
Even voor alle duidelijkheid, SIDN is serieus een slechte partij geworden met oude gewoontes. Wij als groot bedrijf hebben behoorlijk veel last van SIDN door onze 500+ domeinen te verhuizen naar openprovider.
Kan vormgeving van invloed zijn op websitesecurity?
[x] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Te veel toeters en bellen vergroten de onveiligheid.
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
Middels een gekopieerde website onder een iets andere domeinnaam bijvoorbeeld?
[x] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Spreekt voor zich.
Wat ook een grote rol kan spelen, is het simpelweg voldoen aan de W3C standaard.
Nu doet zelfs veel CMS software aan browser herkenning, omdat een hoop browsers ook een stukje eigen ontwikkeling heeft, buiten de afspraken om, IE is hier een goed voorbeeld van.
Wanneer er geen browser herkenning is, en de pagina voldoet 100% aan de W3C standaard, dan zal de pagina er ook op alle (goede) browsers hetzelfde uitzien.
Een grote bron van onveiligheid zijn Java en Javascript, deze zijn in de meeste gevallen niet nodig en worden alleen gebruikt, om de boel te verfraaien net als b.v. flash.
[x] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Te veel toeters en bellen vergroten de onveiligheid.
Zou een vormgever van een website waar zij kan pro actief rekening moeten houden met mogelijke vormen van bijvoorbeeld toekomstig phising misbruik?
Middels een gekopieerde website onder een iets andere domeinnaam bijvoorbeeld?
[x] Ja
[ ] Nee
[ ] Dat hangt er vanaf
Spreekt voor zich.
Wat ook een grote rol kan spelen, is het simpelweg voldoen aan de W3C standaard.
Nu doet zelfs veel CMS software aan browser herkenning, omdat een hoop browsers ook een stukje eigen ontwikkeling heeft, buiten de afspraken om, IE is hier een goed voorbeeld van.
Wanneer er geen browser herkenning is, en de pagina voldoet 100% aan de W3C standaard, dan zal de pagina er ook op alle (goede) browsers hetzelfde uitzien.
Een grote bron van onveiligheid zijn Java en Javascript, deze zijn in de meeste gevallen niet nodig en worden alleen gebruikt, om de boel te verfraaien net als b.v. flash.
Van kijken naar zien
• Ik heb de indruk dat de essentie van de boodschap van dit topic bij te weinig lezers overkomt.
Dat is op zich (misschien?) jammer.
- Technische security is belangrijk en daar ligt ook een hele belangrijke nadruk op op deze site.
- Techniek is echter niet leidend als we ons willen beschermen tegen een veel belangrijkere en laagdrempeliger dreiging : social engineering!
Social engineering maakt vooral misbruik van visuele misleiding in plaats van technische misleiding.
• We zijn/zien misschien niet allemaal even technisch.
We zitten in ieder geval allemaal de hele dag met het web voor onze snufferd en daarom is dit een topic dat alle lezers aangaat!
• 'Security opdracht' (voor wie het interesseert) : ga nou eens voor jezelf na bij belangrijke internet-pagina's die je bezoekt of jij het idee hebt dat de visuele indeling eenvoudige aanknopingspunten biedt om daar misbruik van te maken.
Niet om er misbruik van te maken maar om er bewust van te worden hoe belangrijk de visuele indeling van een website van belang is voor security.
Om je er bewust van te worden dat mooi vormgeven iets heel anders is dan veilig vormgeven.
Om je er van bewust te worden dat een pagina die van zichzelf een onlogische indeling heeft of allerlei visuele afleiding in zich heeft eigenlijk een hulpmiddel is voor diegenen die daar juist misbruik van willen maken.
• Allerconcreetst gemaakt (als insteek-voorbeeld voor een hernieuwde discussie) :
zou er op pagina's waarom je moet inloggen niet juist ... :
1) 'Slechts' 1 plaats moeten zijn waar je kan inloggen?
2) Zou die enkele inlog-functionaliteit niet juist maar op één plaats moeten staan?
Namelijk linksboven direct onder het begin van de url van de pagina die je bezoekt?
Opdat je altijd direct en alleen je focus hebt op de inlog-mogelijkheid en het begin van de url zodat je de veiligheidskenmerken in dezelfde oogopslag zou zien?
Inloggen voortaan alleen linksboven aan een pagina, onder het HTTPS, het slotje (en desgewenst de volledige naamsvermelding bij het EV certificaat van die veilige website).
• Niet iedereen is dus even technisch onderlegd maar de meesten van jullie allemaal kunnen wel (nog beter?) kijken :
Wordt een visuele security professional die bewuster kijkt en ziet.
Reageren en meedoen met de discussie die iedereen aangaat mag, of je het belangrijk vindt?
Dat is weer wat anders en bepaal je zelf.
Voel je in ieder geval niet belemmerd door eventuele beperkte technische kennis, het gaat erom hoe jij naar pagina's kijkt en jij je ze ervaart en beoordeelt!
Kom maar op met je goede of minder goede voorbeelden.
• Ik heb de indruk dat de essentie van de boodschap van dit topic bij te weinig lezers overkomt.
Dat is op zich (misschien?) jammer.
- Technische security is belangrijk en daar ligt ook een hele belangrijke nadruk op op deze site.
- Techniek is echter niet leidend als we ons willen beschermen tegen een veel belangrijkere en laagdrempeliger dreiging : social engineering!
Social engineering maakt vooral misbruik van visuele misleiding in plaats van technische misleiding.
• We zijn/zien misschien niet allemaal even technisch.
We zitten in ieder geval allemaal de hele dag met het web voor onze snufferd en daarom is dit een topic dat alle lezers aangaat!
• 'Security opdracht' (voor wie het interesseert) : ga nou eens voor jezelf na bij belangrijke internet-pagina's die je bezoekt of jij het idee hebt dat de visuele indeling eenvoudige aanknopingspunten biedt om daar misbruik van te maken.
Niet om er misbruik van te maken maar om er bewust van te worden hoe belangrijk de visuele indeling van een website van belang is voor security.
Om je er bewust van te worden dat mooi vormgeven iets heel anders is dan veilig vormgeven.
Om je er van bewust te worden dat een pagina die van zichzelf een onlogische indeling heeft of allerlei visuele afleiding in zich heeft eigenlijk een hulpmiddel is voor diegenen die daar juist misbruik van willen maken.
• Allerconcreetst gemaakt (als insteek-voorbeeld voor een hernieuwde discussie) :
zou er op pagina's waarom je moet inloggen niet juist ... :
1) 'Slechts' 1 plaats moeten zijn waar je kan inloggen?
2) Zou die enkele inlog-functionaliteit niet juist maar op één plaats moeten staan?
Namelijk linksboven direct onder het begin van de url van de pagina die je bezoekt?
Opdat je altijd direct en alleen je focus hebt op de inlog-mogelijkheid en het begin van de url zodat je de veiligheidskenmerken in dezelfde oogopslag zou zien?
Inloggen voortaan alleen linksboven aan een pagina, onder het HTTPS, het slotje (en desgewenst de volledige naamsvermelding bij het EV certificaat van die veilige website).
• Niet iedereen is dus even technisch onderlegd maar de meesten van jullie allemaal kunnen wel (nog beter?) kijken :
Wordt een visuele security professional die bewuster kijkt en ziet.
Reageren en meedoen met de discussie die iedereen aangaat mag, of je het belangrijk vindt?
Dat is weer wat anders en bepaal je zelf.
Voel je in ieder geval niet belemmerd door eventuele beperkte technische kennis, het gaat erom hoe jij naar pagina's kijkt en jij je ze ervaart en beoordeelt!
Kom maar op met je goede of minder goede voorbeelden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
