Security Professionals - ipfw add deny all from eindgebruikers to any

Hyperlinks op webpagina

16-01-2019, 13:54 door Stephan Bensch, 18 reacties
Ik heb hulp en nieuwe / andere inzichten nodig. Er is, binnen de bank waar ik werk, discussie ontstaan tussen marketing en security.

Marketing maakt heel graag op de web pagina gebruik van hyperlinks naar externe webpagina's. Dit natuurlijk om naar eigen zeggen de customer experience te vergroten en gemak voor de bezoeker te vergroten.

Security zegt dat je dit zo veel mogelijk moet beperken. Sowieso alleen https links gebruiken en direct naar pagina's met relevante content linken en niet de algemene homepagina. Volgens security kan de site gecloned worden en de hyperlinks misbruikt om cybercrime te plegen.

Moeten wij de links op de website zo veel mogelijk beperken of moeten we marketing zijn gang laten gaan? Wat zijn de risico's?
Reacties (18)
16-01-2019, 13:58 door Anoniem
Money rules!
16-01-2019, 13:59 door Anoniem
Moeten wij de links op de website zo veel mogelijk beperken of moeten we marketing zijn gang laten gaan? Wat zijn de risico's?

Volgens mij leggen je beveiligers al aardig uit wat de risico's zijn. De mening van marketeers doet daar niets aan af.

Dit natuurlijk om naar eigen zeggen de customer experience te vergroten en gemak voor de bezoeker te vergroten.

Fantastische marketeer uitleg, maar als klant wordt mijn customer experience niet groter, en het gemak evenmin, door te verwijzen naar allerlij externe diensten. Dat is voor hun experience & gemak....
16-01-2019, 14:38 door Anoniem
Als je de mogelijkheid hebt dit op basis van prangende security overwegingen tegen te gaan, verkeer je in een luxe positie,
of wordt je gesteund door een wijze en security bewuste marketing poot (eveneens een luxe om te koesteren).

Als ze dit plan even snel laten varen als GoDaddy met hun injectiescripts is er veel gewonnen.
Wat mij betreft verdien je later een lintje voor deze posting. Even niet security behandeld als een "last resort issue".

Kun je aan klantenbinding doen door security bewustzijn bij zowel bank als klant,
heb je een win-win situatie ook voor marketing management.
Communicatie, management en IT in een optimale samenwerking, zo hoort het. Proficiat.

luntrus
16-01-2019, 14:47 door Bitwiper - Bijgewerkt: 16-01-2019, 14:54
Als je linkt naar andere dan de hoofdpagina van een externe site ontstaat al snel het functionele risico dat de structuur van de betreffende website wijzigt en een pagina of document niet meer gevonden wordt.

Bijv. vanochtend klikte ik op de de eerste link in https://tweakers.net/nieuws/123173/cyber-security-raad-schade-door-slechte-beveiliging-zal-vaker-worden-verhaald.html en kreeg een 404 (de URL van vandaag luidde https://www.cybersecurityraad.nl/binaries/Handreiking_Zorgplichten_NED_DEF_tcm107-314470.pdf; toen ik dat bestand op 18 april 2017 downloadde, luidde de bestandsnaam "20170405_CSR_Handreiking2017_CompleetDEFweb_tcm56-253718.pdf". Inhoudelijk is er overigens geen bit gewijzigd t.o.v. het bestand dat ik vandaag downloadde).

Gebruik van http-links is altijd een risico en raad ik af; bijv, via publieke WiFi hotspots kunnen deze eenvoudig onderschept worden, en als dat gebeurt kan dat op jouw organisatie afstralen.

Helaas voegen https verbindingen qua veiligheid (authenticatie in dit geval) niets meer toe zodra het betreffende domein niet meer van de bedoelde partij is (tijdelijk bijv. als gevolg van een DNS record hijack, of permament omdat de organisatie niet meer bestaat en de domeinnaam in gebruik is genomen door een partij met heel andere intenties). Vanuit kwaliteits- en beveiligingsoogpunt is het dus raadzaam om alle externe links regelmatig te controleren (nog beter is het als je bij elke externe links vermeldt wanneer je deze voor het laatst gecheckt hebt).

Het kan daarom handig zijn om al die externe links op 1 pagina op te nemen (met een disclaimer), desgewenst kun je vanuit elke pagina waarin je een "externe link" zou willen opnemen, indirect naar de juiste link op die "link pagina" springen. Doel: als alle extrene links bij elkaar staan (en niet ad hoc op allerlei pagina's worden toegevoegd), hoef je die externe links maar op 1 plaats te checken (en indien nodig kun je daar opnemen dat een externe link helaas niet meer bestaat, en bijv. alternatieven noemen). Hier moet dan natuurlijk wel een proces voor worden ingeregeld, en de uitvoering daarvan kost gewoon tijd en dus geld.

Op z'n minst zou ik een symbooltje gebruiken dat duidelijk maakt dat je naar een andere site gaat (zoals bij Wikipedia dat doet, die trouwens ook alle externe links bij elkaar zet - alleen dan onderaan elke pagina).

Als individu met een vertrouwensrelatie met mijn bank begrijp ik overigens niet waarom een bank allemaal externe links zou moeten hebben, met alle risico's van dien. Welke informatie moet ik waarom ergens anders halen?
16-01-2019, 15:11 door Anoniem
Als je denkt dat je als marketingmedewerker meer verstand hebt van security dan de afdeling security, heb ik vrij weinig inhoudelijke feedback. Je kunt ook gewoon de dialoog aangaan met security, en met z'n tweeën zoeken naar oplossingen, misschien is dat een beter idee.
16-01-2019, 17:56 door Anoniem
Je moet geen oplossingen zoeken voor iets wat so-wie-so uit security opzicht een slechte zaak is,
als je naast veilige content onveilige content introduceert.

Deze oude waarschuwing spreekt derhalve boekdelen: https://www.cnet.com/news/hyperlink-insecurity/
17-01-2019, 08:39 door Anoniem
Bedankt voor jullie feedback allemaal. Wel waardevol om te gebruiken.
17-01-2019, 14:05 door Anoniem
Ik begrijp wel dat marketeering graag z'n ding doet, en bijvoorbeeld foldertjes op en bij adviesbalies neerzet. Probleem is dat als je dat simpelweg naar linkjes vertaalt, je makkelijk een enorme beerput van ellende opentrekt.

Een aantal voorbeelden zijn al genoemd, meer kan je mischien zelf nog wel bedenken. En ook de vraag waarom een bank z'n klanten daarmee lastigvalt is een goede. Wat is de bankwebsite nou helemaal, een "experience" waar het om emotie draait, een "portaal" om naar elders te verwijzen, of toch meer een reclamebord voor zichzelf, een bibliotheek met diensten en bijbehorende verdere informatie, en oh ja, ook nog een manier om je rekening te beheren?

Een website is een modern visitekaartje en nog een hoop meer erbij ook nog. En de enige echt belangrijke vraag is of het voldoet aan wat de klant ervan verwacht. Hoezo past daarin verwijzen naar andere websites?

Qua security zou je nog iets kunnen verzinnen als dat als je dan externe linkjes inplakt, je dat doet via zo'n (vreselijk vervelende) u-verlaat-nu-onze-website-pagina. Dit voor de duidelijkheid maar ook een mooi punt om een linkchecker in te bouwen die, zeg maximaal eens per dag, zelf kijkt of dat linkje nog een beetje hetzelfde doet als de vorige keer, en geen http-foutmeldingen oplevert, ineens met andere certificaten werkt, en zo verder. Dat is dan wel weer extra werk om de opgemerkte discrepanties na te kijken. En oh ja, ook nog even zorgen dat derde partijen dat soort redirectors niet kunnen misbruiken.
17-01-2019, 15:02 door Anoniem
En ook de vraag waarom een bank z'n klanten daarmee lastigvalt is een goede. Wat is de bankwebsite nou helemaal, een "experience" waar het om emotie draait, een "portaal" om naar elders te verwijzen, of toch meer een reclamebord voor zichzelf, een bibliotheek met diensten en bijbehorende verdere informatie, en oh ja, ook nog een manier om je rekening te beheren?

Indien een marketeer bij mij komt met geblaat over de ''emotie'' en ''experience'' om slechte beveiliging goed te praten, dan is het gesprek al snel voorbij. Leuk dat jargon, maar de oplossing dient nog steeds veilig te zijn. En met buzzwoordjes gooien verandert daar niks aan.
17-01-2019, 18:50 door Anoniem
Mooi rapport uitgekomen vandaag over het risico van de macht van de drie grote banken. Dus als het Rabo, ING of ABNAMRO betreft, vrij zinloze discussies. Marketing wint. Want als de boel ploft dan is de burger langs de achterdeur alsnog de sigaar. Dus marketing redeneert vanuit de luxe dat het risico voor de bank toch altijd nihil is. Banken zijn om je geld te brengen. Niet om te halen. Want kijk maar naar de resultaten. Naarmate gebruik van cash wordt ontmoedigt raakt iedereen alleen maar dieper in de schulden. Bij banken die toch vrijwel altijd aan het langste eind trekken. Het is een soort van Ryan Air business model. Waarbij je bij Ryan dan tenminste nog goedkoop vliegt.

Marketing wint. Security van de klant was al geen thema meer toen de klant zijn rekening opende. En naarmate je niet meer vrij kunt bewegen zonder een rekening, nog minder relevant. Je kunt tenslotte altijd bijlenen. Als je hier even tekent.
17-01-2019, 22:20 door Anoniem
Er zijn meerdere risico's te onderkennen (even in de snelheid van een reactie hier):

1) De klant kan worden verwezen naar een website die niet meer werkt / tijdelijk malware verspreid / etc.
2) Op de website waarna wordt gelinkt zou bv. een tracker actief kunnen zijn die de referer uitleest. Stel dat iemand op jouw website net naar /informatie-over-echtscheidingen.html kijkt en doorklikt weet deze tracker dat. (In de marketeer z'n taal: de concurrent kan de klant een handje verder gaan helpen).
3) De klant kan niet doorhebben dat hij op een externe site terecht is gekomen en daar bv. gegevens achterlaten terwijl hij denkt dat dit aan jullie is gericht.

Alles is overkomelijk natuurlijk, maar in ieder geval (1) per link even goed nadenken of het echt nodig is; (2) een goede referer-policy (header) instellen (zie securityheaders.io).

tip: Houd goed in de gaten dat een markteer niet altijd het verschil tussen een script (zoals een facebook 'like' button, met linkje) en een echte standaard link (<a href=) hoeft te kennen. Het opvoeren van javascripts brengt veel meer risco's met zich mee natuurlijk.
17-01-2019, 22:25 door Anoniem
Marketing van de bank is tot daar aan toe als het tussen bank en klant blijft.

Maar via een EU opening in Finland mogen nu in de EU na toestemming ook andere financiële spelers mee gaan kijken bij uw transacties.

Tracking & monitoring van 3rd parties via hyperlinks kan dan een weg zijn om nog verder te verdienen aan uw en mijn Big Data. Ik vind dat het bedrijfsleven wel heel veel ruimte krijgt en de burger a.k.a klant niet zo bar veel bescherming geniet.

Als marketing poten van banken dit al gaan inzien, zijn de anderen onder druk van gelobby toch al vrij ver afgedwaald van een harmonie-model. We zullen het per slot van rekening toch samen, ook economisch gezien, moeten zien te rooien en het is een zeer slecht land, waar het niemand goed gaat.
18-01-2019, 08:44 door [Account Verwijderd] - Bijgewerkt: 18-01-2019, 08:47
Door Anoniem: Mooi rapport uitgekomen vandaag over het risico van de macht van de drie grote banken. Dus als het Rabo, ING of ABNAMRO betreft, vrij zinloze discussies. Marketing wint. Want als de boel ploft dan is de burger langs de achterdeur alsnog de sigaar. Dus marketing redeneert vanuit de luxe dat het risico voor de bank toch altijd nihil is. Banken zijn om je geld te brengen. Niet om te halen. Want kijk maar naar de resultaten. Naarmate gebruik van cash wordt ontmoedigt raakt iedereen alleen maar dieper in de schulden. Bij banken die toch vrijwel altijd aan het langste eind trekken. Het is een soort van Ryan Air business model. Waarbij je bij Ryan dan tenminste nog goedkoop vliegt.

Marketing wint. Security van de klant was al geen thema meer toen de klant zijn rekening opende. En naarmate je niet meer vrij kunt bewegen zonder een rekening, nog minder relevant. Je kunt tenslotte altijd bijlenen. Als je hier even tekent.

Dat is de wrange realiteit ja. Heel bondig samengevat.
Banken zijn sinds de als zodanig gekenmerkte crisis (2007/2008) nadat de beurzen opklaarden gewoon op de oude voet verder gegaan. Kon het anders? Maak dat de kat maar wijs. Antwoord: Neen. Kernwoord: verdienmodel.
Dat je geld nog kritischer dan voorheen (2007 en terug) dient om het exploitatiemodel: 'bank' overeind te houden bewijst het uiterst lage rentepercentage van 0,3% of minder. Vergelijking: De zg. Sterrekening van de Postbank (1990) bood een rentepercentage van 6%.
2019: De oude sok op zolder stijgt nog meer in gewicht dan een bankrekening. Naast het appeltje voor de dorst kruipt daar na verloop van tijd een hele mottenfamilie in rond.
18-01-2019, 09:40 door Briolet
Door Bitwiper: Als je linkt naar andere dan de hoofdpagina van een externe site ontstaat al snel het functionele risico dat de structuur van de betreffende website wijzigt en een pagina of document niet meer gevonden wordt.

Maar dan pas je die link toch zo snel mogelijk aan? Er zijn methodes om te zorgen dat de 404 error pagina direct een mail genereert richting systeem beheerder. Die kan dan direct kijken en die link corrigeren zodat de fout kortdurend is.

Ik heb me laats weer zitten ergeren aan links die naar de hoofdpagina wijzen. Ik zocht locaties van locale textiel containers. De link "toon locaties" stuurde me door naar de hoofdpagina van Rova, Daar moest ik opnieuw zoeken naar de pagina met containers en opnieuw mijn postcode invoeren. Toen ik uiteindelijk de rova link gevonden had om de textiel containers aan te geven, stuurde deze link me naar de hoofdpagina van de site van het leger des heils, die bij ons de containers verzorgd. Kon ik opnieuw zoeken, maar gaf het snel op omdat het niet te vinden was via hun zoekfunctie.

Gevolg was dat ik een hele mailwisseling gehad heb met klantenservice van Rova over dit onvriendelijke doorverwijzen.

Een goede website bouwer maakt linkjes naar de goede pagina en bouwt waarschuwingen in voor gebroken links zodat die snel hersteld kunnen worden. Dan houdt je tevreden klanten.
18-01-2019, 13:41 door Anoniem
Door Anoniem: Er zijn meerdere risico's te onderkennen (even in de snelheid van een reactie hier):

Ik vergat er nog een:
4) de andere website kan, indien er wordt gelinkt met een target=“_blank” een techniek toepassen die kort door de bocht de opener (de bank site) aanpast: https://en.m.wikipedia.org/wiki/Tabnabbing

Bij extern linken is een dagelijkse check van al die links wel handig. Bv ook even langs virustotal halen. Is goed te automatiseren.
18-01-2019, 17:35 door Anoniem
Door Briolet:
Een goede website bouwer maakt linkjes naar de goede pagina en bouwt waarschuwingen in voor gebroken links zodat die snel hersteld kunnen worden. Dan houdt je tevreden klanten.

Ik heb in mijn tijd heel wat sites gebouwd, compleet met scripts die regelmatig de soms tientallen links naliepen en 404's doorgaven.
Probleem met die scripts is dat ze niet - altijd - werken!
Soms wordt een domein overgenomen en geparkeerd of de betreffende pagina wordt aangepast en heeft niks meer met het oorspronkelijke onderwerp te maken.

Jouw script zegt dat alles oké is, want geen 404, maar die pagina die eerst over een voor jouw klanten relevant onderwerp ging, is nu onderdeel van een porno-site.
18-01-2019, 23:30 door Anoniem
Door Balder:
Door Anoniem: Mooi rapport uitgekomen vandaag over het risico van de macht van de drie grote banken. Dus als het Rabo, ING of ABNAMRO betreft, vrij zinloze discussies. Marketing wint. Want als de boel ploft dan is de burger langs de achterdeur alsnog de sigaar. Dus marketing redeneert vanuit de luxe dat het risico voor de bank toch altijd nihil is. Banken zijn om je geld te brengen. Niet om te halen. Want kijk maar naar de resultaten. Naarmate gebruik van cash wordt ontmoedigt raakt iedereen alleen maar dieper in de schulden. Bij banken die toch vrijwel altijd aan het langste eind trekken. Het is een soort van Ryan Air business model. Waarbij je bij Ryan dan tenminste nog goedkoop vliegt.

Marketing wint. Security van de klant was al geen thema meer toen de klant zijn rekening opende. En naarmate je niet meer vrij kunt bewegen zonder een rekening, nog minder relevant. Je kunt tenslotte altijd bijlenen. Als je hier even tekent.

Dat is de wrange realiteit ja. Heel bondig samengevat.
Banken zijn sinds de als zodanig gekenmerkte crisis (2007/2008) nadat de beurzen opklaarden gewoon op de oude voet verder gegaan. Kon het anders? Maak dat de kat maar wijs. Antwoord: Neen. Kernwoord: verdienmodel.
Dat je geld nog kritischer dan voorheen (2007 en terug) dient om het exploitatiemodel: 'bank' overeind te houden bewijst het uiterst lage rentepercentage van 0,3% of minder. Vergelijking: De zg. Sterrekening van de Postbank (1990) bood een rentepercentage van 6%.
2019: De oude sok op zolder stijgt nog meer in gewicht dan een bankrekening. Naast het appeltje voor de dorst kruipt daar na verloop van tijd een hele mottenfamilie in rond.

Met name in juist de VVD zou men zich eens achter de oren moeten krabben. Want als je het echte liberale gedachtengoed kent, dan staat het hele verhaal over banken daar echt volkomen haaks op. Met nog geen graad afwijking. Haaks.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.