Door Willieworteltjes: Vreemd: in de verwijzing naar het Chrome 63 artikel staat deze zin "De waarschuwing wordt ook niet getoond in het geval kwaadaardige software een man-in-the-middle uitvoert. "
Dus is Mozilla dan wel verder met haar waarschuwing?
Volgens mij gaat het over hetzelfde of bijna hetzelfde. Firefox noemt het:
We turned on the MitM error page by default in 66, alerting users that their connection is probably broken because of an application in the middle of their traffic.
Een mooi voorbeeld van wat het doet:
https://support.mozilla.org/en-US/questions/1223172Veel AntiVirusprodukten gebruiken een soort MITM-certificaat voor https-scanning.
Er kan ook andere software op je PC actief zijn die zoiets doet, bijvoorbeeld malware, proxy-ware.
Https-scanning (of ssl-scanning, tls-scanning) betekent dat een stuk software op je PC de data van je encrypted verbinding alvast decodeert om de ware inhoud ervan bloot te leggen voor een bepaald doel voordat het bij je browser aanbelandt.
Een AV-scanner scant het als het goed is op de aanwezigheid van bedreigende software, en waarschuwt je er in voorkomende gevallen voor nog voordat het op je computer wordt uitgevoerd.
(zodat je het nog kan tegenhouden en zodoende uit de ellende blijft)
Maar https-scanning is altijd al een omstreden eigenschap geweest. En wel om 2 redenen:
1. De browser kan dan meestal het echte certificaat van de bezochte server niet meer beoordelen op "vertrouwd" of "niet vertrouwd", want de browser ziet altijd en eeuwig dat AV-mitm certificaat onafhankelijk van welke site je bezoekt.
Je ruilt dan dus a.h.w. een stuk belangrijke security van je browser in voor een stuk security dat jouw AV-scanner je zou kunnen geven. (of niet!)
En als je dan dus niet heeeeel goed weet wat je AV-scanner wel en met name vooral
niet goed controleert (!!!),
kan je in bepaalde gevallen met https-scanning kwetsbaarder zijn dan zonder https-scanning.
2. Het is eigenlijk al een wat omstreden gedachte dat AV-scanners de ware data blootlegt van vertrouwelijke informatie.
O ja? Is dat zo?Ja, dat is zo!
De vertrouwelijkheid van een https-verbinding geldt immers tussen jou en de server waar je mee bent verbonden.
Het kan ongewenst zijn om AV-software hierbij als derde mee te laten luisteren in geval het inderdaad werkelijk om heel vertrouwelijke informatie gaat.
Bijv. je weet immers van een bank (nadat je goed hebt gecontroleerd dat je daarmee een directe verbinding hebt)
toch al dat er een ontzettend lage kans is dat een professionele bankserver jou malware zou serveren.
Dus waarom moet een AV-scanner al jou bankgegevens dan meekijken en controleren op virussen?
Dat zou alleen maar een risico zijn.
Bang dat er Banking malware op je PC staat?
Dan zou je je PC moeten laten scannen. Niet de verbinding.
Hah. O ja joh? Is dat zo?
En waarom zou AV-scannen van de verbinding nou weer een risico zijn dan,
dom miezerig eigenwijs klein pietepeuterig sukkeltje pukkeltje?Ach, wel mijn uitgehongerde allervriendelijkste hooggeëerd geweten, dat is om 2 redenen a) en b):
a) een AV-scanner bestaat uit toegevoegde software,
en elke software bevat meestal kwetsbaarheden die kunnen worden uitgebuit door een kwaadwillende hacker.
Toegevoegde software vergroot dus het aanvalsoppervlak: AV-software is een extra ding dat een hacker kan proberen aan te vallen.
Dit betekent in de praktijk dat hierdoor de kans van een kwaadwillende hacker juist weer toeneemt om jou te bespioneren,
in de maling te nemen, of te bestelen.
Maar hoeveel kwetsbaarder je er van wordt, hangt ook af van hoe goed of slecht de AV-software is ontworpen!
Alleen.... daar heb je als gemiddelde gebruiker meestal veel te weinig zicht op.
https://www.security.nl/posting/513138/Test%3A+Veiligheid+virusscanners+laat+te+wensen+overWanneer doet en AV-scanner meer kwaad dan goed? Dat is best wel moeilijk om te bepalen zelfs voor de expert.
Apple maakt goede software maar ook daar vind men af en toe kwetsbaarheden in.
En er is maar 1 nodig om te kunnen worden gehackt.
b) Een AV-scanner "doet iets" met de door haar onversleutelde datastroom om deze te kunnen controleren op virussen.
Maar dat kan wel eens inhouden dat er gegevens waarschijnlijk niet of niet allemaal alleen maar lokaal op jouw PC blijven.
Het vereist jouw vertrouwen op de AV-fabrikant en hun software, en zulk vertrouwen is als een zijden draadje.
Wat je vaak ziet is dat delen van de datastroom worden samengevat tot een hash, en dat de AV-fabrikant deze hash-uitkomst doorstuurt naar hun server om deze te vergelijken met een database van bekende hashes van cruciale delen die in bekende malware voorkomt.
Meestal is een hash niet gemakkelijk terug te rekenen, maar zeg nooit "nooit".
Kijk wat er gebeurt is met oudere hashmethoden: MD5, SHA1...
Ook onze huidige moderne hasmethoden worden een keer oud, en.... bewaren van gegevens kan heel lang tegenwoordig,
vooral in bepaalde landen. Ik denk dat bijv. een buitenlandse inlichtingendienst, spionagedienst of opsporingsdienst als ze het zouden willen er in een aantal gevallen wel iets mee kan.
Het doel lijkt mij dus een
bewustere omgang met https/ssl/tls-scanning omdat er bepaalde risico's aan zijn verbonden,
en
bewustere omgang met het al of niet bezoeken van websites met niet-vertrouwde certificateneveneens omdat daar wat meer risico's aan zijn verbonden.
En tenslotte niet te vergeten kan het denk ik een waarschuwing zijn voor
verdachte proxy-software die misschien wel zonder je medeweten door een hacker op je systeem is terechtgekomen.
Je zou zo'n "MOZILLA_PKIX_ERROR_MITM_DETECTED" -melding bijv. nooit mogen krijgen bij internetbankieren overheidzaken doen via internet e.d. en andere vertrouwelijke zaken. (onmiddellijk wegklikken en uitzoeken waar het aan ligt)
Enne...
blijve lachuh