image

Beveiligingsbedrijf hekelt "Veilig" melding in Chrome

donderdag 6 april 2017, 12:19 door Redactie, 5 reacties

Google Chrome geeft tegenwoordig bij https-sites de melding "Veilig" in de adresbalk weer, maar dat is niet altijd terecht, zo stelt beveiligingsbedrijf Wordfence. De eerste kritiek van onderzoeker Mark Maunder is dat de melding ook bij phishingsites wordt gegeven die over een geldig ssl-certificaat beschikken.

Zo werd onlangs bekend dat de gratis ssl-verstrekker Let's Encrypt alleen voor PayPal-phishingsites zo'n 15.000 certificaten had uitgegeven. Gebruikers zouden zo kunnen denken dat de website waar ze op zitten veilig is. Een ander kritiekpunt is dat als een certificaatautoriteit een onterecht uitgegeven certificaat intrekt, Chrome nog steeds de melding "Veilig" weergeeft. Alleen via de Chrome-developertools is te zien dat het certificaat is ingetrokken.

Daarnaast kan het enige tijd duren voordat kwaadaardige websites die over een geldig ssl-certificaat beschikken op de blacklist van Chrome verschijnen en gebruikers een waarschuwing krijgen. In de tussentijd verschijnt er nog steeds de melding "Veilig" bij deze websites. Volgens Maunder kan de safebrowsinglijst die Google hanteert dan ook niet als back-upmechanisme worden gebruikt om gebruikers tegen kwaadaardige websites met geldige ssl-certificaten te beschermen. Internetgebruikers krijgen dan ook het advies om altijd de hostnaam in de adresbalk te controleren.

"Ik denk niet dat de melding "Veilig" in de adresbalk van Chrome goed genoeg is. Het Chrome-team zou een schaal moeten overwegen die rekening houdt met wie de certificaatautoriteit is, hoeveel domeinen hetzelfde certificaat delen en de leeftijd van een domein en diens certificaat. Er zijn andere kenmerken die je waarschijnlijk kunt gebruiken om een veiligheidsscore te berekenen, in plaats van alleen een binaire "Veilig" of "Niet veilig" melding voor websites", aldus Maunder.

Image

Reacties (5)
06-04-2017, 13:33 door buttonius - Bijgewerkt: 06-04-2017, 13:34
OK... alternatieve tekst: "Mostly harmless"?
Voor wie 'm niet herkent: https://en.wikipedia.org/wiki/Mostly_Harmless
06-04-2017, 15:44 door Anoniem
ik hekel de marketingactie van dit beveiligingsbedrijf.

de verbinding is en blijft "veilig", zelfs als bied de website alleen maar phishing of live malware samples aan.
daarnaast heeft google al heel lang het "google safe browsing" programa, wat WEL naar de inhoud van een website kijkt.
06-04-2017, 18:57 door Anoniem
Door buttonius: OK... alternatieve tekst: "Mostly harmless"?
Voor wie 'm niet herkent: https://en.wikipedia.org/wiki/Mostly_Harmless
of "niet onveilig" als zodanig
06-04-2017, 19:15 door Anoniem
Er staat niet "veilig".
Maar een slotje met daarachter "veilig".
Hetgeen aangeeft dat de verbinding goed is beveiligd (=versleuteld; vandaar het gesloten slotje).
Niet noodzakelijkerwijs dat het altijd de juiste website is, en ook niet dat de website goed zou zijn beveiligd.
De zekerheid dat de website juist is, is zeer groot als de kleur van het slotje groen is. (EV-certificaat)

Moeilijk he? Eigenlijk zouden mensen behalve PGP-mail ook geen browsers moeten gebruiken.
Veel te moeilijk.
Maar daar hoor je niemand over...
07-04-2017, 12:52 door Anoniem
Misschien dat dit beveiligingsbedrijf verder moet kijken dan haar neus lang is... dan had ze minstens geweten dat de indicatie NIET bedoeld is ter-aanduiding dat de site zelve veilig is, enkel dat de verbinding een beveiligde verbinding is. Dat stelt kenmerkelijk niks over de inhoud.

We kunnen bij deze ook stellen dat WordFence niet eens weet waar zij over spreekt en zodoende de term "beveiligingsbedrijf" geheel onwaardig is, bedankt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.