EFF waarschuwt voor beveiligingsrisico van wifi-portalen
De Amerikaanse burgerrechtenbeweging EFF heeft een waarschuwing voor het gebruik van wifi-portalen afgegeven, aangezien die voor problemen met https-websites kunnen zorgen. Wifi-portalen, ook wel captive portals genoemd, laten een inlogpagina zien waar gebruikers bijvoorbeeld moeten inloggen of met de voorwaarden akkoord moeten gaan voordat ze verbinding met het internet kunnen maken.
Deze portalen, die zich tussen de gebruiker en het internet bevinden, kunnen https verkeer proberen te onderscheppen of afvangen. Dit zorgt voor een certificaatwaarschuwing in de browser, aangezien die merkt dat de https-verbinding niet kan worden opgezet. Volgens de EFF kunnen deze waarschuwingen voor websites die in principe veilig zijn ervoor zorgen dat gebruikers leren om veiligheidswaarschuwingen te negeren.
De EFF roept organisaties en beheerders dan ook op om 'best practices' voor dit soort portalen te volgen en zo mogelijke beveiligings- en privacyproblemen te voorkomen. Zo hoort een wifi-portaal verbindingen op poort 443 voor hostnamen die het niet herkent te blokkeren. Dit zal voor een "CONNECTION_REFUSED" melding zorgen, in plaats van de "Connection not private" melding die bij een ongeldig certificaat wordt getoond. Door het weergeven van de refused-melding wordt gebruikers niet geleerd dat ze certificaatwaarschuwingen moeten negeren.
Daarnaast zijn er ook nog verschillende andere maatregelen die beheerders kunnen nemen. Voor de meeste netwerken zijn wifi-portalen echter een onnodige hindernis tussen de gebruiker en een draadloze verfbinding, aldus de EFF. "In plaats van het aanbieden van toegang, maken ze gebruikers alleen maar minder veilig", zegt Gennie Gebhart van de Amerikaanse burgerrechtenbeweging, die opmerkt dat het tijd is voor meer privacyvriendelijke wifi-netwerken.
om weten te gaan. Dwz als ze een https verbinding proberen en dat lukt niet, dan geven ze niet meteen meer een
cryptische "CONNECTION_REFUSED" en ook geen "not private" ofzo maar dan gaan ze eerst proberen wat er bij
bepaalde acties (DNS lookup, http connectie naar een eigen site) gebeurt en afhankelijk van de uitkomst daarvan
helpen ze de gebruiker bij het inloggen op die captive portal.
Een captive portal kan nodig zijn om betaling te regelen (je koopt toegang voor een bepaalde periode ofzo en moet dan
eerst inloggen) of om voorwaarden voor toegang te tonen en door de gebruiker te laten accepteren (zie die screenshot).
EFF heeft daar niks over te zeggen, het is aan de aanbieder van toegang om de voorwaarden te bepalen, en aan de
lokale wetgever om te bepalen hoe er omgegaan kan worden met toegang zonder dat de voorwaarden bekend zijn.
(als er bijvoorbeeld allerlei beschermende wetgeving is die bepaalt dat er aan het verlenen van toegang verantwoordelijkheden
gekoppeld zijn die de aanbieder niet wil nemen, of als beperkingen in bijvoorbeeld de transparantie van de toegang niet
zomaar mogen, dan is een captive portal nodig om dit aan de gebruiker mede te delen en zo allerlei aanspraken te
voorkomen)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
