23-03-2016, 15:41 door Anoniem: Jij doet je belastingaangifte ieder jaar vanaf een terrasje over de publieke wifi met een biertje en een uitsmijter erbij?
Naast bij terrasjes, staat Nederland vol met openbare WiFi access points - en er komen er steeds meer bij.
Waar op de site van de belastingdienst of DigiD zie jij staan dat ik geen openbare WiFi hotspot, bijv. in de trein, in een hotel, of zelfs op een terrasje, zou mogen gebruiken?
En denk je werkelijk dat doorsnee WiFi gebruikers, die "veiliger" werken doordat zij
ervan uitgaan dat zij van een betrouwbaar (niet publiek toegankelijk) access point gebruikmaken, controleren of zij op dat moment
daadwerkelijk verbinding hebben met het
bedoelde WiFi access point?
En, in het geval dat zij
daarwerkelijk een WiFi verbinding hebben met met
bedoelde access point, is het nog maar helemaal de vraag is hoe het staat met de beveiliging van dat ding (aan de lopende band blijken deze dingen lek te zijn of een backdoor te hebben). Weet je wat het betekent als een aanvaller controle heeft over de DNS antwoorden die naar jouw PC worden gestuurd?
Dit soort (overheid- maar ook andere) websites, d.w.z. die content aanbieden waarbij er geld "verdiend" kan worden met gespoofde content, en
zeker sites waarmee je direct of indirect (zoals DigiD) vertrouwelijke informatie uitwisselt, horen
elke pagina op die site via https aan te bieden - zodat je redelijk zeker weet dat je met de juiste communiceert en de informatie niet door derden gemanipuleerd kan worden. Het certificaat hoort daarbij aanvullende informatie te verschaffen, zodat je met redelijke zekerheid weet van welke organisatie de betreffende site is. Die zekerheid neemt toe, met name voor de doorsnee gebruiker, indien de site een EV (Extended Validation) certificaat toepast.
Waarom gebeurt dat dan niet? Wellicht omdat mensen zoals jij verantwoordelijk zijn voor de beveiliging van dit soort websites?