Mooi stukje, daar niet van, zet er even wat tegenoverSSL en andere emmertjes digi-water naar de zee dragen als nationale sportVoorbeeldjeNuon energieleverancier.
Bekend onder https://www.nuon.nl/
Goed controleren?
Okay, het is groen dus dat is inderdaad okay
Slotje https://www.nuon.nl/ geeft antwoord op Owner
"N.V. Nuon Energy"Het is wel niet in het Nederlands maar het zal wel goed zijn, even geen zin om de kvk te controleren of er niet toevallig twee verschillende zijn, Nuon Energie en Nuon Energy, maar het zou kunnen (bij wat kleinere bedrijven wellicht).
Eind goed al goed?
Nou nee.
EmailWat nou als je een email krijgt van dat bedrijf?
Ze stuurt namelijk emails onder nuon.com
Punt com??
Even kijken dan op het web of die website wel bestaat, https://www.nuon.com/
Inderdaad.
Slotje https://www.nuon.com/ geeft antwoord op Owner
"This website does not supply ownership information."Certificaat dan, CN common name
"ssl473702.cloudflaressl.com"O dat ziet er wel heel raar uit, dat is vast een NEPserver!!!
Gauw wegklikken en de computer scannen met de virusscanner.
De niet leek weet dat cloudflare ook halve https diensten levert, dat hebben we al eens eerder hier op deze website geconstateerd, https tot aan cloudflare, dan een vage mitm en vanaf daar mag Justus het weten hoe de verbinding eruit ziet.
Maar de leek?
Ja, of nee, die loopt nu vast.
'Gelukkig' kijkt de leek niet zover maar daarmee heeft de controle eigenlijk ook haar nut verloren, slechte controle is immers niets waard.
SubdomeinendansjesAls ik dan toch maar die email van die nepserver.com met Cloudflare vertrouw en doe wat in de mail staat, namelijk meterstanden invullen door een link aan te klikken, krijgen we het volgende probleem.
Veel overheids websites, banken websites en commerciele websites maken er een potje van op dit punt.
Kijk maar.
Nuon.nl, uhnee Nuon.Com vraagt meterstanden in te vullen onder de volgende link
https://nuon.pti.nl/ecard/nuon.php?data=hdyejsleik4willekeurigealfabettenaantekenslang
Zit de leek nu op een website van Nuon?
Ja denkt de leek want er staat toch Nuon in de link (ojee...) eh in de url, wel twee keer!
Hoe zat dat ook alweer met die domeinen?
Nuon.nl, nuon.com en dus ook nuon.php ?
Even zoeken, typtyp,.. nuon.php ,.. oh
"Unable to connect, browser can't establish a connection to the server at nuon.php."Ahaa! Hebbes, weerrr een nepserver!??
O wacht ik zie nog .nl staan met pti ervoor.
Pti?
Pti.nl ?
Even intikken, hee een groen slotje, maarreh, Pincode Telenet B.v. ??
Owner
"Pincode Telenet B.V."is geen Nuon.
Het is wel paarsig maar het geel ontbreekt, nee dit is echt een ander bedrijf.
En nu? on? ..Hoe dan?
Ik snap er niets van als leek!!!
Als ik als leek ga controleren wordt het hopeloos ingewikkeld!
En als ik als leek zoals vele andere leken standaard via google een url opzoek loopik ook nog eens de kans vele andere nuons tegen te komen.
Want wat een eindeloze mogelijkheden aan domein extensies naast.nl en naast .com
https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#ICANN-era_generic_top-level_domainsVan nuon.sucks geloof ik wel dat een leek ook wel denkt dat niet goed kan zijn.
Maar deze, deze https://www.nuon.net/ had heel goed gekund, of org of biz, etc etc.
Sommigen (de meesten) leveren nog geen pagina op die op de Nuon website lijkt.
Maar eigenlijk maakt het niet uit als er maar ergens nuon in de url staat dan is het goed, dat heb je immers zelf van nuon geleerd.
Helemaal goed?
Nee, dus en het is eigenlijk verbazingwekkend dat er nog zoveel goed gaat!
Want van de leek kan je het niet kwalijk nemen dat die er geen ene jota van snapt!
Elke browser een eigen kleurtje en gedragingEn dan hebben we het nog niet eens over de verschillende kleuren slotjes in de verschillende browsers, wel of geen slotjes weergave, de waarschuwingen of juist geen waarschuwingen of binnen kort dus geen zichtbaar slotje en dan ook nog dat met dat www. en soms ook ww2. ..
De browsermakers, de certificaatverstrekkers, cloudboeren als cloudflare, domeinnaambeheer ICANN en vooral de bedrijven en overheden zelf met het gehussel van domeinen onder verschillende extensies, onder verschillende namen en totaal niet te begrijpen gehannes met subdomeinen en ondoorzichtige doorverwijzingen naar andere bedrijven maken het voor de LEEK ten ene male een hopeloze zaak.Abolute controle is absolute kolder!Goed opletten is dus eigenlijk lulkoek als je niet daadwerkelijk begrijpt wat er allemaal aan soorten mogelijkheden voorbijkomt.
De standaard leek snapt dat niet, en het is ze niet kwalijk te nemen, ze doet dus ook geen controle, in de praktijk niet en ook niet in theorie want als je niet weet hoe je moet controleren heeft het ook uiteindelijk maar matig zin.
Oja gemiste basis vraag aan de leek, http(s) ?
Vvraag aan honderd mensen wat http betekent, ehh.
En Https staat voorrr ... http-slotje?
Waar staat het slotje voor?
Hoe zit dat dan met de kleuren? Welke heb je dan?
SlotjessprookjesOns is verteld dat we op het slotje moeten letten maar het slaat dus eigenlijk vrijwel nergens op omdat het .. .. omdat er vele andere aanvalsvectoren zijn en dat letten op dat slotje inderdaad bepaald geen garanties geeft (op de verkeerde websites).
Niet NOSgenoemd maar ook heel kwalijk : Bovendien doen bedrijven zelf er ook nog eens ALLES aan om op de home pagina de aandacht volledig weg te trekken van die urlbar die op een smartfoon al helemaal nauwelijks leesbaar is.
Oplossing voor deze hopeloze zaak?Standaardisering, maar de markt houdt niet van standaarden, dat is namelijk niet zo onderscheidend en verkoopaantrekkelijk.
Dus, dan maar 1 keer de belangrijke domeinen als juiste favoriet opslaan in je browser en hopen dat het goedgaat.
Een andere oplossing is een app per functie, voor internetbankieren, voor overheidszaken, ..
Maar dan heb je weer een ander probleem, namelijk dat je volstrekt niet meer kan controleren wat die bedrijven van je systeem graaien!
Op je computer houdt je advertenties tegen en trackers tegen, in de app kunnen ze behoorlijk ongecontroleerd hun gang gaan, tenzij de smartfoon-os fabrikant dat niet okee vindt.
Zweedse wateren stromen overalNuon is tegenwoordig trouwens zweeds, mooi woord dat waterval op zijn zweeds, vele soorten spellingsmogelijkheden en vele extensies beschikbaar.
Maar gelukkig, gelukkig voor alle boefjes heeft nuon het supermakkelijk voor ons gemaakt, als er maar ergens Nuon in de url staat is het goed!
Linkje klikken maarrr!!
Nuon.
vulmaarinanythinggoes.nl/ecard/nuon.php?data=hdyejsleik4willekeurigealfabettenaantekenslang
Begin dan ook niet meer over het probleem achter / voor het toetsenbord als je als industrie er een rommeltje van maakt voor de klant!
Nuon is natuurlijk maar 1 voorbeeld, bedrijven doen dit ook standaard met bijvoorbeeld enquetes etc etc.
De gemiddelde leek heeft echt geen flauw benul waar die allemaal naar toe gestuurd wordt en denkt vaak op de site van een bedrijf te zitten terwijl dat echt niet zo is, en maar absoluut kijken naar het slotje en of de naam ergens genoemd wordt.