Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Safari 12 toont EV-certificaat niet meer

18-09-2018, 13:30 door Anoniem, 2 reacties
Zojuist Safari geupdate naar versie 12, waarna deze EV-certificaat niet meer toont.
Wel zie je een duidelijk verschil tussen een EV-site (groen slotje) en een DV-site (grijs slotje), maar wie de eigenaar is zie je nu pas nadat je klikt op het slotje.

Als eigenaar van een EV-certificaat: wordt hier niet je duurbetaalde certificaat ineens veel minder waard?
Reacties (2)
18-09-2018, 14:53 door Briolet - Bijgewerkt: 18-09-2018, 14:56
Hier is inmiddels een mac naar Safari 12 geupdate. Inderdaad niet meer de naam in de brouwserbalk, maar de domeinnaam in het groen. Voor het gros zal het kleurverschil tussen de certificaten opvallender zijn dan de naam die je in de balk ziet.

De kleur geeft aan dat het een EV certificaat is. Voor de doorsnee browser gebruiker is dit duidelijk genoeg. De rest beoordelen kon hij toch al niet.
En bij een klik op het slotje, ziet de iets ervarener gebruiker alsnog de naam van de firma. Dit is nog voor je het certificaat zelf gaat bekijken.
24-09-2018, 20:59 door Anoniem
Door Briolet: Hier is inmiddels een mac naar Safari 12 geupdate. Inderdaad niet meer de naam in de brouwserbalk, maar de domeinnaam in het groen. Voor het gros zal het kleurverschil tussen de certificaten opvallender zijn dan de naam die je in de balk ziet.
Nou nee.

De kleur geeft aan dat het een EV certificaat is. Voor de doorsnee browser gebruiker is dit duidelijk genoeg.
Nou nee want met icoontjes kan je visueel stoeien, weet de gemiddelde gebruiker veel waar dat ding echt hoort te staan?

De rest beoordelen kon hij toch al niet.
Jawel, heel goed zelfs, een naam van een bank is prima te lezen en te vergelijken.

En bij een klik op het slotje, ziet de iets ervarener gebruiker alsnog de naam van de firma. Dit is nog voor je het certificaat zelf gaat bekijken.
En dat is dus onzinnig, want als je al het certificaat gaat bestuderen ben je al ver voorbij de controle van de visuele naam.

NEE, haal het slotje maar weg en laat de naam van het EV certificaathouder in beeld staan : banditendat is makkelijk vergelijken met de verwachte naam van bankditendat.

Visual social engineering met slotjes is mogelijk en valt minder op dan gehannes met een hele naam.

Stomdom van Apple.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.