image

Firefox toont waarschuwing bij recent gehackte websites

donderdag 15 november 2018, 10:14 door Redactie, 5 reacties

Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine.

Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik.

Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren.

"Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen.

Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch.

Image

Reacties (5)
15-11-2018, 10:52 door KoalaBear
Vind het een goede actie. Wat ze er dan nog wel bij moeten zetten is, "Gebruik je het wachtwoord ook nog op andere sites, pas deze dan ook daar aan." o.i.d.
15-11-2018, 11:21 door Anoniem
Totaal gehaxx0red! Nu met browser-plugin!

Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
15-11-2018, 16:45 door Anoniem
Door Anoniem: Totaal gehaxx0red! Nu met browser-plugin!

Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
En je punt is?
16-11-2018, 09:21 door Anoniem
Door Anoniem:
Door Anoniem: Totaal gehaxx0red! Nu met browser-plugin!

Wat het betekent? Maakt niet uit, gewoon wat mooie extra waarschuwingen die je waarschuwen tegen mogelijke potentieele gevaren van hackers met hacks en hacking enzo. Want hackers hacken en wat het is weet niemand maar het is vast wel mogelijk potentieel gevaarlijk. Want hackers!
En je punt is?
Precies wat er staat.

Mischien dat je je nog wel herinnert wat er na "9/11" gebeurde: Allerlei waarschuwingen en dreigingsniveaux en kleurenschemas over mogelijke, potentieele, mogelijke potentiele, mogelijkpotentiele mischiene, en zo verdere "dreigingen" te waarschuwen. Compleet met kleurenschema dat ook onmiddelijk en genadeloos op de hak genomen werd.

Het "security" wereldje doet iets vergelijkbaars al jaren: Expres zo vaag-maar-wel-dreigend mogelijk voor "hackers", "cyber", en "cyberhackers" waarschuwen. Betekent niets, dus kun je er alles onderschuiven. Maar je enige optie om je tegen "alles" te beschermen is nog om met je cyberdekentje onder je cyberbed te kruipen en hopen dat er niet al cyberhackermonsters zaten voor je eronder kroop. Dat is dus niet nuttig.

En om dus wel iets nuttigs op "security"-gebied te gaan doen is het nodig de terminologie ook te laten opgroeien. Dus niet meer "hackers" dit en "gehacked" dat, en laat de hoedjes maar helemaal in de verkleedkist.

Maar wel benoemen waar het wel over gaat. In detail, zonder vage bangmaaktermen. Wat "hackers" ondertussen precies wel is, en niet meer dan dat. Dus zonder "hackers" en "gehacked". Want zodra je daarmee begint, ben je dus niet bezig met nuttige dingen, en kan je net zo goed gelijk ophouden. Meer hee, mischien is dat echt het beste dat je kunt?
16-11-2018, 15:35 door Anoniem
@ anoniem van 09:21,

Maar hoe kweek je een ander veiligheidsbewustzijn aan bij de eindgebruikers? Wat zegt hen "een mogelijk gevaarlijk su of tk-domein"? Analyseren ze wel eens met behulp van SNYK? Wat weten ze van Lucky13 kwetsbaarheid op de server, TLS session resumption extensive settings, van sri errors, ontbreken van noodzakelijke best policy header beveiliging?

Als de app- en website-developers al niet met meer oog ervoor worden opgeleid en onder tijddruk moeten werken met cheat-sheets en geen rekening houden met allerlei pakketten met onderlinge impact op de getroffen beveiligingsmechnaismen, die men via TYPE manipulatie wel weer weet te omzeilen bijvoorbeeld. Wat dan?

Als brakke code van af te voeren bibliotheken maar naast elkander op sites blijven staan? Als JavaScript errors niet voortdurend geskimmed, gelint en gehint worden? Dan zitten we onderhand met een digitaal botsautootje op een soort van Russische roulette te werken, toch?

Ik doe al twaalf jaar iets nuttigs naar me dunkt, maar ik zie dat ik, net als keizer Caligula bij Katwijk bezig ben met water naar de zee dragen en mijn paard beter kan voordragen als senator. We zijn al ver van het padje af als security TINF-lieden en we hebben de goegemeente over de afgeklopen 30 weinig aangeleerd. Hoe zijn we toch met zijn allen in zo'n toestand beland?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.