09-09-2016, 08:11 door Anoniem: Door Erik van Straten: Hoewel het privacyaspect een rol speelt, kan iemand met toegang tot de verbinding ook informatie (in beide richtingen) wijzigen. Wat de bezoeker van een http website leest is daarmee sowieso altijd minder betrouwbaar.
Dat is minder eenvoudig dan je het doet voorkomen. In de keten van een eindgebruiker naar de website zijn er weinig tot geen locaties waar iemand zomaar even wat neer kan zetten om http verkeer om te leiden.
[...]
Dat kan voor jouw deur. Als de notebook/tablet/e-reader/smartphone die jij gebruikt, verbinding heeft gehad met een public WiFi access point (eventueel met wachtwoord, maar dan moet de aanvaller dat wachtwoord kennen - wat zelden een probleem is) en die associatie is niet verwijderd uit het device, en de aanvaller biedt een sterker signaal aan dan jouw modem, dan is er een kans dat jouw device via het AP van de aanvaller gaat communiceren en jij dit niet merkt. Toegegeven, voor doorsnee burgers is de kans op zo'n heel gerichte aanval natuurlijk niet zo groot, maar uitsluiten kun je dit niet. En belangrijker wat mij betreft: niet iedereen is een doorsnee burger (er zijn allerlei soorten mensen waar wel veel te halen valt, denk aan jouw huisarts of specialist).
En wat Peter al schreef: op vakantie, in de trein, op vliegvelden etc. maken we met z'n allen massaal gebruik van public WiFi, en dan ben je zo kwetsbaar als het maar kan.
09-09-2016, 08:11 door Anoniem: Een dure operatie om wat informatie te vervalsen, dan dat moet dan wat opleveren.
Je hebt gelijk dat een operatie "lonend" moet zijn. Maar het gaat niet alleen om geld; denk aan stalkers, burenruzies, netwerkgluren in studentenhuizen etc.
09-09-2016, 08:11 door Anoniem: Het is eenvoudiger om iemands pc te hacken (kan op afstand), of via een openbaar wifi acces-point te vissen. Dan helpt ook HTTPS niet vanzelfsprekend meer, en tja, als je over publieke wifi je bankzaken regelt ...
Dit is een kul argument, want het is helemaal niet zo eenvoudig om een willekeurige PC te hacken als je geen toegang hebt tot verbindingen met die PC.
09-09-2016, 08:11 door Anoniem: Voorbeelden:
1) op nu.nl een nepbericht waarin staat dat veel rekeningen van de bank van het slachtoffer zijn geplunderd, in de hoop dat het slachtoffer gaat internetbankieren en niet op een ontbrekend slotje let;
Dan moet je ergens in de verdeelkasten van de provider iets neerzetten dat http verkeer onderschept en omleidt. Hoe succesvol gaat dat zijn? Niet echt. Of je breekt in bij de eindgebruiker en vervangt zijn router? Kun je er net zo goed meteen een neerzetten die ook https verkeer onderschept. Hackt zijn PC, dan helpt ook https niet meer.
Bij een gehackt device heeft de gebruiker inderdaad niets meer aan https. Maar https i.p.v http helpt
wel in een aantal gevallen voorkomen dat devices worden gehackt.
Bij een gehackte router (en/of modem) of kwaadaardige WPAD proxy biedt https absuluut bescherming, indien:
- De bezochte websites HSTS inzetten en de betrokkene die sites niet te lang geleden heeft bezocht,
of- De gebruiker opmerkt dat een verbinding http is terwijl zij https verwacht. De waarschuwing van Chrome draagt hier aan bij.
09-09-2016, 08:11 door Anoniem: En als je zo gericht aanvalt werkt een via de post bezorgde brief waarschijnlijk beter om slachtoffers om de tuin te leiden. Anderzijds kun je ook nu.nl proberen te hacken, of om de tuin te leiden. Email werkt ook nog best goed.
Dat zijn inderdaad allemaal risico's maar die staan los van het beveiligen van verbindingen met websites.
09-09-2016, 08:11 door Anoniem:
2) op je klaverjaswebsite een artikelje (met downloadlink) dat de vereniging een licentie gekocht heeft voor een bekend klaverjasoefenprogramma, gratis te gebruiken door de leden.
De mogelijkheden zijn legio.
De website hacken is veel eenvoudiger, en goedkoper, en doeltreffender.
Dat geldt niet voor alle websites. Een gebruiker die uitsluitend niet gehackte websites bezoekt is gebaat bij https in plaats van http. Net als bij het vorige punt kom je met andere aanvalsscenario's i.p.v. steekhoudende argumenten.
09-09-2016, 08:11 door Anoniem: Maar aanvallers kunnen meer. O.a. door DNS manipulatie kunnen zij jou op een totaal andere site laten uitkomen dan bedoeld (terwijl de correcte domainname in de URL balk van de browser wordt getoond). Ook kan de aanvaller bijv. kwaadaardige Javascript en/of malware injecteren (bijv. middels een popup melden dat een plugin moet worden geïnstalleerd of geüpdated, of meteen een exploit "inschieten").
Dat heeft niets met de veiligheid van HTTPS versus HTTP van doen. Als een aanvaller succesvol het DNS voor een gebuiker kan manipuleren helpt ook https niet meer, tenslotte wordt om een certificaten te verifiëren ook DNS gebruikt.
Dat is volstrekt onjuist.
Als de gebruiker bijv. naar
https://www.security.nl/ surft en de browser het IP-adres van www.security.nl opvraagt, retourneert DNS
ofwel het IP-adres van de bedoelde webserver,
ofwel een gemanipuleerd antwoord. Bij een gemanipuleerd antwoord krijgt de gebruiker altijd een certificaatfoutmelding te zien (tenzij de private key van www.security.nl gelekt is, of als een certificaatprovider een certificaat voor www.security.nl heeft uitgegeven aan iemand die niets met security.nl te maken heeft). Daardoor zijn https verbindingen totaal onafhankelijk van DNS.
09-09-2016, 08:11 door Anoniem: DNSSEC helpt iets [...]
Irrelevant in deze context, zie DNS hierboven.
09-09-2016, 08:11 door Anoniem: Goedkoper is het om direct een pc aanvallen, pf te vissen op een publieke wifi en ook dan helpt ook https niet meer en is zo'n slotje eigenlijk valse veiligheid.
Je vervalt in herhalingen.
09-09-2016, 08:11 door Anoniem: Extra kwetsbaar zijn bezoekers van websites die, voor algemene pagina's, http toestaan (of zelfs vereisen door naar http te schakelen als je https probeert) en pas naar https schakelen als er vertrouwelijke gegevens moeten worden uitgewisseld. Een MitM (Man in the Middle) aanvaller realiseert op dat moment de versleutelde verbinding met de site en wisselt informatie via http uit met de gebruiker - die zich niet realiseert dat de verbinding naar https had moeten omschakelen.
Daar helpt het kruisje van Google dan weer niet bij, sites die content deels via http aanbieden vallen hier ook onder, of ze Google mist weer te veel. Je moet wel duidelijk maken wat de zwakte van zo'n site (of domein) precies is.
Het initiatief van Google (waar ik volledig achter sta) is het uitroeien van http. Vanzelfsprekend geldt dat ook voor sites met mixed content, ook daar hoort een rood kruis bij.
09-09-2016, 08:11 door Anoniem: Met name omdat het op internet nog barst van dat soort sites (maar ook vanwege de eerder door mij genoemde redenen) vind ik het een uitstekend idee om gebruikers te waarschuwen als ze ongeauthenticeerde en onversleutelde verbindingen gebruiken.
Waarschuwen is prima, het 'slotje' kan niet groot genoeg zijn, maar gooi niet te veel op deze hoop want als gebruikers dat kruisje maar vaak genoeg (moeten) negeren dan wordt dat een gewoonte.
Goed dat we het met elkaar een zijn dat zo min mogelijk sites http moeten gebruiken i.p.v. https!
09-09-2016, 08:11 door Anoniem: Overigens garandeert een groen slotje niet dat je verbinding ook echt 'veilig' is en met de site die je denkt dat het is.
Daarin heb je absoluut gelijk, maar dat is een andere discussie - die wel steeds gevoerd moet blijven worden (niet voor niets heb ik er op deze site op gehamerd dat RC4 te zwak is).
09-09-2016, 08:11 door Anoniem: Eigenlijk zou je certificaten op het systeem moeten cachen, of zoiets, en een waarschuwing geven als een certificaat (onverwacht) wijzigt. Ook analyse van de aangeboden certificaten, als ze allemaal dezelfde root hebben is er iets fout, zou welkom zijn. Ik zou dat liever zien dan dat emmeren over http wat ze nu doen.
Vanzelfsprekend moeten we https goed toepassen. Zaken als betrouwbare authenticatie van de betreffende website (feitelijk wil je de identiteit van de verantwoordelijke organisatie achter een domainname kennen) zijn loeibelangrijk, maar voor huis-en-tuin websites kan een self-signed certificaat dat 30 jaar geldig is, goed genoeg zijn om van de voordelen van https boven http te profiteren.
09-09-2016, 08:11 door Anoniem: Over een niet-vertrouwde verbinding, dan wel netwerk, is ook HTTPS niet betrouwbaar.
https is niet 100% betrouwbaar en zal dat nooit worden. Maar een https verbinding is, om de door mij aangevoerde redenen, wel véél betrouwbaarder dan een http verbinding.