Door Anoniem: Saldo: Is onderdeel van de pagina, daar zullen ze niet in kijken, immers zou dat een grove privacy schending zijn.
Als je een verbinding hebt met je bank is deze versleuteld, hoe kan dan een andere partij deze gegevens in zien.
Op minstens zes verschillende manieren:
1) Webpagina's van de meeste websites bevatten instructies voor jouw webbrowser om tegelijkertijd scripts van geheel andere websites op te halen en uit te voeren. Heel vaak gaat het daarbij om "ga.js", het Google Analytics script, dat gedragingen van gebruikers op de betreffende webpagina monitort en terugmeldt aan Google, waarna de eigenaar van de website die gegevens kan inzien (en bijv. de website verbeteren). Er zijn meerdere partijen die dit soort functionaliteit "gratis" aanbieden (jij betaalt met de inbreuk op jouw privacy). Daarmee kan veel, zo niet alles, van wat jij ziet en invoert met zo'n third party analytische website worden gedeeld; de eigenaar daarvan en diens personeel zul je noodgedwongen moeten vertrouwen (of een tool als NoScript gebruiken). Nb. Als de verbinding met de website, waarvan je de URL ziet in jouw browser, is geauthenticeerd [*]
en versleuteld, zijn (in de meeste browsers) alle verbindingen met
andere websites, waarvan kennelijk gegevens nodig zijn om de pagina op te bouwen, ook geauthenticeerd
en versleuteld [**].
2) Als jouw webbrowser door Google gemaakt is, zul je Google erop moeten vertrouwen dat hun programmeurs niets van wat jij op jouw scherm ziet en/of invoert, tevens naar Google (of een andere site van een foute programmeur) sturen.
3) Dat geldt ook voor alle plug-ins in jouw webbrowser (inclusief NoScript - als je dat gebruikt).
4) Dat geldt ook voor het besturingssysteem.
5) Dat geldt ook voor alle andere software die (al dan niet zichtbaar voor jou) draait op de door jou gebruikte PC of op (in iets mindere mate) tablets en smartphones. Dit is typisch wat "banking-trojan" malware doet: als dergelijke troep op jouw PC of portable device draait, is de kans groot dat jouw rekening geplunderd wordt.
6) Als jouw besturingssysteem (of, in het geval van Firefox: in de browser zelf) een rootcertificaat van een onbetrouwbare certificaatuitgever bevat (bijv. toegevoegd door het bedrijf waar je werkt, door malware of een veiligheidsdienst), kan het zijn dat de verbinding tussen jouw browser en sommige of alle websites wordt onderbroken door een server "onderweg". Richting jouw browser doet die server zich dan voor als de bedoelde website, en richting de echte website als jouw browser (dit wordt een MitM = "Man in the Middle" genoemd). Bij https verbindingen is er dan een
onterecht geauthenticeerde en versleutelde verbinding tussen jouw browser en die MitM, en tussen de MitM en de
echte website is er een
terecht geauthenticeerde en versleutelde verbinding met de echte website. De eigenaar en beheerders van de MitM kunnen alles zien wat jij ziet en/of invoert.
[*] Geauthenticeerd wil zeggen dat de webserver bewijst over een private key te beschikken die precies past bij een public key in het webservercertificaat, waarvan een certificaatuitgever heeft bevestigd dat de domeinnaam in dat cerificaat (zoals "mijn.ing.nl" of "*.google-analytics.com") hoort bij genoemd sleutelpaar. Als de certificaatuitgevers van de gebruikte certificaten en de gebruikte cryptografie betrouwbaar zijn, en de private key niet in verkeerde handen gevallen is, kun je er veilig vanuit gaan dat jouw browser verbinding heeft met de bedoelde website. Nb. Niets op die website zelf wordt hierdoor veilig of betrouwbaar; als de eigenaar van de website de webserver bij een hoster heeft ondergebracht, zul je (naast het personeel van de bank) ook het personeel van die hoster moeten vertrouwen!
[**] Hiervoor volstaat elk type https certificaat, ook als de primaire webserver (zoals mijn.ing.nl) zich heeft geauthenticeerd met een EV (Extended Validation) certificaat. Ik vind dit een ernstige bug in het systeem (en dit is een van de redenen waarom ik NoScript en Firefox gebruik). Als aanvaller kun je dus het beste een valse Google Analytics website optuigen en daar een gratis DV certificaat voor aanvragen (zoals van Let's Encrypt). Hoewel het vermoedelijk knap lastig is om de domeinnaam van een site als www.google-analytics.com te spoofen
richting een DV certificaatuitgever, is dit (bijv. middels een BGP hijack attack) niet onmogelijk.