image

Chatsoftware Element biedt end-to-end versleutelde embedded live chat

vrijdag 8 juli 2022, 14:16 door Redactie, 12 reacties

Tal van organisaties, waaronder banken en zorginstellingen, bieden hun klanten en gebruikers een online live chat voor het stellen van vragen, maar de meeste van deze embedded chats zijn niet end-to-end versleuteld, zo claimen de makers van chatsoftware Element. Die hebben nu een oplossing genaamd Chatterbox gelanceerd die wel end-to-end versleutelde communicatie biedt.

Chatterbox is een open source "secure embedded live chat" gebaseerd op Matrix en is binnen websites en apps te gebruiken. Matrix is een protocol en platform dat versleutelde communicatie biedt. Organisaties kunnen Chatterbox zelf hosten of voor een gehoste oplossing kiezen. Klanten en gebruikers van deze organisaties hoeven niet eerst een account aan te maken of zich te registreren om end-to-end versleuteld te kunnen chatten.

Verder claimen de ontwikkelaars dat Chatterbox net zo eenvoudig te implementeren is als andere embedded live chatsoftware. Doordat Chatterbox op Matrix is gebaseerd, is het interoperabel met andere Matrix-gebaseerde apps. De broncode van de software is te vinden via GitHub.

Reacties (12)
08-07-2022, 15:33 door Erik van Straten - Bijgewerkt: 08-07-2022, 15:38
Aan "End-to-end versleuteld" heb je helemaal niks als je chat met een cybercrimineel die zich voordoet als een medewerker van jouw bank.

Hoe hou je echt van nep uit elkaar bij Chatterbox van Element?
08-07-2022, 15:49 door Anoniem
Door Erik van Straten: Aan "End-to-end versleuteld" heb je helemaal niks als je chat met een cybercrimineel die zich voordoet als een medewerker van jouw bank.

Hoe hou je echt van nep uit elkaar bij Chatterbox van Element?

https (cerificaten) schat ik (voor zover ik kan zien is het embedded in html)
08-07-2022, 16:50 door Anoniem
Ja en als je het installeert ben je voor je het weet GB's aan opslag kwijt. XMPP is toch ook end to end, zoiets implementeren is 50 mb.
08-07-2022, 19:05 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Aan "End-to-end versleuteld" heb je helemaal niks als je chat met een cybercrimineel die zich voordoet als een medewerker van jouw bank.

Hoe hou je echt van nep uit elkaar bij Chatterbox van Element?

https (cerificaten) schat ik (voor zover ik kan zien is het embedded in html)
Alles wat nieuw is en/of social engineering vereenvoudigt zet phishers op voorsprong, want er is nog niemand voor gewaarschuwd (nou ja, behalve de enkeling die dit leest).

Scenario: je ontvangt een e-mail (of appje/SMS) met bijvoorbeeld de volgende tekst:
Van: ING bank - afdeling fraude-afhandeling <no-reply@ing-fraude-afhandeling.com>
L.S.

Wij hebben aanwijzingen dat cybercriminelen toegang hebben tot uw ING bankrekening, mogelijk via uw PC, tablet of smartphone. Log tot nader order niet in, want dan kunnen de criminelen mogelijk geld overmaken vanaf uw rekening.

Neem eerst contact op met de afdeling fraude-afhandeling van ING zodat zij u kunnen helpen controleren of uw apparatuur veilig is. Dat doet u door onderstaande zaak-code te onthouden en door te geven aan een van onze medewerkers via onze nieuwe en beveiligde chat (dankzij deze chat hoeft u niet meer eindeloos aan de telefoon te wachten). U kunt contact opnemen als volgt:

Open https://ing-fraude-afhandeling.com/ en verzeker u ervan dat u het bekende slotje ziet, waarmee u zeker weet dat het om een beveiligde verbinding gaat. Zoek naar de knop "beveiligde chat met medewerker" en druk daar op. De medewerker zal u om uw unieke zaak-code (zie hieronder) vragen, en u helpen vaststellen dat de apparatuur, die u gebruikt om te internetbankieren, veilig is. Mogelijk zal de medewerker u vragen om software te installeren waarmee de beveiliging kan worden gecontroleerd. Tenzij daarbij kwaadaardige software wordt aangetroffen, zullen wij u geen kosten in rekening brengen voor deze dienst.

Mocht onverhoopt kwaadaardige software worden aangetroffen, dan kan de medewerker u desgewenst helpen om uw apparatuur weer veilig te krijgen. De medewerker zal u vooraf, geheel vrijblijvend, informeren over de te verwachten kosten; vanzelfsprekend kunt u eventuele werkzaamheden ook door een andere partij laten uitvoeren.

Uw zaak-code: Xv3-zd9-Fs2.

Met vriendelijke groet,
ING afdeling fraude-afhandeling

Natuurlijk ziet het potentiële slachtoffer een slotje en klopt het certificaat (net zoals het Let's Encrypt certificaat voor een heel stel domeinnamen afgelopen weekend bij de Twitter scam: https://security.nl/posting/759460).

Als communicatiesoftware geen enkele moeite doet om deelnemers te helpen bij het vaststellen van de identiteit van "gespreks"partners, is reclame maken met "end-to-end encryption" ordinaire snake oil - waar criminelen van zullen profiteren.
09-07-2022, 09:41 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Aan "End-to-end versleuteld" heb je helemaal niks als je chat met een cybercrimineel die zich voordoet als een medewerker van jouw bank.

Hoe hou je echt van nep uit elkaar bij Chatterbox van Element?

https (cerificaten) schat ik (voor zover ik kan zien is het embedded in html)
Alles wat nieuw is en/of social engineering vereenvoudigt zet phishers op voorsprong, want er is nog niemand voor gewaarschuwd (nou ja, behalve de enkeling die dit leest).

Scenario: je ontvangt een e-mail (of appje/SMS) met bijvoorbeeld de volgende tekst:
Van: ING bank - afdeling fraude-afhandeling <no-reply@ing-fraude-afhandeling.com>
L.S.

Wij hebben aanwijzingen dat cybercriminelen toegang hebben tot uw ING bankrekening, mogelijk via uw PC, tablet of smartphone. Log tot nader order niet in, want dan kunnen de criminelen mogelijk geld overmaken vanaf uw rekening.

Neem eerst contact op met de afdeling fraude-afhandeling van ING zodat zij u kunnen helpen controleren of uw apparatuur veilig is. Dat doet u door onderstaande zaak-code te onthouden en door te geven aan een van onze medewerkers via onze nieuwe en beveiligde chat (dankzij deze chat hoeft u niet meer eindeloos aan de telefoon te wachten). U kunt contact opnemen als volgt:

Open https://ing-fraude-afhandeling.com/ en verzeker u ervan dat u het bekende slotje ziet, waarmee u zeker weet dat het om een beveiligde verbinding gaat. Zoek naar de knop "beveiligde chat met medewerker" en druk daar op. De medewerker zal u om uw unieke zaak-code (zie hieronder) vragen, en u helpen vaststellen dat de apparatuur, die u gebruikt om te internetbankieren, veilig is. Mogelijk zal de medewerker u vragen om software te installeren waarmee de beveiliging kan worden gecontroleerd. Tenzij daarbij kwaadaardige software wordt aangetroffen, zullen wij u geen kosten in rekening brengen voor deze dienst.

Mocht onverhoopt kwaadaardige software worden aangetroffen, dan kan de medewerker u desgewenst helpen om uw apparatuur weer veilig te krijgen. De medewerker zal u vooraf, geheel vrijblijvend, informeren over de te verwachten kosten; vanzelfsprekend kunt u eventuele werkzaamheden ook door een andere partij laten uitvoeren.

Uw zaak-code: Xv3-zd9-Fs2.

Met vriendelijke groet,
ING afdeling fraude-afhandeling

Natuurlijk ziet het potentiële slachtoffer een slotje en klopt het certificaat (net zoals het Let's Encrypt certificaat voor een heel stel domeinnamen afgelopen weekend bij de Twitter scam: https://security.nl/posting/759460).

Als communicatiesoftware geen enkele moeite doet om deelnemers te helpen bij het vaststellen van de identiteit van "gespreks"partners, is reclame maken met "end-to-end encryption" ordinaire snake oil - waar criminelen van zullen profiteren.

Even jouw voorbeeld daar gelaten, want als men daar in trapt dan weet ik niet of men te redden is.

Ik vergelijk het een beetje met "web of trust" versus "trust on first use". De eerste is in theory veiliger maar vaak niet praktisch en dus vaak onveiliger on de streep. De laatste is een compromis ten gunste van gebruikersgemak.

Het is in de beveiliging altijd wegen dat maakt het zo interessant. Je kunt alles betwisten als je wilt.
09-07-2022, 14:43 door Erik van Straten
Door Anoniem: Even jouw voorbeeld daar gelaten, want als men daar in trapt dan weet ik niet of men te redden is.
Als niemand of bijna niemand er in zou trappen, zouden phishingberichten niet massaal worden verzonden, bankfraude niet zo'n groot probleem zijn en niet zoveel slachoffers in de steek worden gelaten door hun bank en het Kifid. Zolang dat gebeurt moeten beveiligers (waar ik mijzelf ook toe reken) beter hun best doen om op z'n minst het aantal slachtoffers te verkleinen.

De onderhavige chatsoftware voegt niks toe dat het aantal potentiële slachtoffers in de doelgroep verkleint. Integendeel, "end-to-end versleuteling" roepen biedt een vals gevoel van veiligheid en lijkt een ordinaire verkooptruc. Voor zover ik heb kunnen vinden (please correct me if I'm wrong), is er niets in deze software waardoor je met enige zekerheid weet met wie of met welke organisatie je communiceert.

Authenticatie lijkt dus voor 100% afhankelijk te zijn van het https protocol waarvan we weten dat dit wordt misbruikt omdat slachtoffers niet weten dat ze de domeinnaam in hun browser moeten checken voordat ze iets invullen en/of niet weten hoe ze met enige zekerheid kunnen vaststellen of die domeinnaam van de gesuggereerde organisatie is of juist niet.

Nb. in plaats van met "L.S." beginnen kan een phishing mail ook de correcte aanhef bevatten en zelfs jouw correcte IBAN vermelden. Aangezien het afzenderdomein legitiem is, kunnen de phishers eenvoudig SPF, DKIM en DMARC/ARC laten kloppen. En de link kan achter een URL-shortener worden verstopt.

Ik ben niet geïnteresseerd in mensen die wel snappen waarom het een phishingmail is, of die de mail weggooien omdat ze onthouden hebben dat banken nooit mails sturen met links erin (wat niet waar is). Wel zoek ik naar oplossingen waardoor minder mensen in zo'n val lopen en "trap ik op de rem" bij averechts werkende "oplossingen".

Door Anoniem: Ik vergelijk het een beetje met "web of trust" versus "trust on first use". De eerste is in theory veiliger maar vaak niet praktisch en dus vaak onveiliger on de streep. De laatste is een compromis ten gunste van gebruikersgemak.
TOFU is veilig mits je uit kunt sluiten dat bij het eerste contact identiteitsfraude plaatsvindt, en mits de software (zoals ssh en chat-aps) je bij herhaald contact met dezelfde persoon (of organisatie) waarschuwt bij een gewijzigde public key, en mits bij zo'n waarschuwing bij de gebruiker alle alarmbellen afgaan, en mits deze de ander betrouwbaar kan authenticeren en dat ook daadwerkelijk doet (en het contact verbreekt als er iets niet klopt).

Ik ken de Chatterbox software niet (en als het echt open source is kunnen phishers er natuurlijk van maken wat zij willen). Ik zie in elk geval de volgende mogelijkheden voor Chatterbox of een kloon die is gemanipuleerd:
1) Deze zwijgt over de betrouwbaarheid van de identiteit van de "bank-medewerker";
2) Deze waarschuwt je dat het om een nieuw contact met ongeverifieerde identiteit gaat;
3) Deze stelt dat het om een herkend eerder contact gaat;
4) Deze stelt dat het om een een medewerker van de bank met geverifieerde identiteit gaat.

Als de "klant" niet de embedded (web-based) chat maar een betrouwbare (matrix?) app gebruikt, het niet om phishing zou gaan en die klant toevallig eerder contact met de (of een) echte bankmedewerker heeft gehad, is mogelijkheid 3 denkbaar en TOFU.

Maar als het om phishing gaat en de "klant" geen betrouwbare app gebruikt, kunnen de aanvallers die "klant" alles wijsmaken wat zij willen (mogelijkheid 2 sluit ik dan uit). Mogelijk gemaakt door een app die veiligheid suggereert maar niet biedt.

Door Anoniem: Het is in de beveiliging altijd wegen dat maakt het zo interessant. Je kunt alles betwisten als je wilt.
Op z'n minst wil ik dat "innovaties" het niet onveiliger maken voor de doelgroep. End-to-end versleuteling zonder authenticatie is schijnveiligheid.
09-07-2022, 15:55 door Anoniem
Bedankt. We bekijken dit van verschillende hoeken en daarom verschillen we van mening. Jij richt je tot mensen die "het niet snappen" en ik richt mij tot mensen die "het wel snappen".

Je kunt bewustzijn/zorgvuldigheid niet vervangen denk ik en ik zie dat ook niet als een houdbaar doel. Ik focus op een publiek dat bewust/zorgvuldig is, en ik wil het makklijker maken voor dat publiek. Dat helpt trouwens uiteindelijk de andere groep tot op zekere hoogte ook maar uiteindelijk moet er wel een basis zijn.

Je browset naar foo.nl omdat je weet dat dit het adres van je peer is. Het certificaat bevestigd dit. Van daar ga je er vanuit dat foo.nl de persoon waarmee je spreekt authoriseert. De end-to-end encryptie kan iets toevoegen voor wat betreft integriteit.

Als je zo'n phishing mail ontvangt dan is het belangrijke het adres waar het naar verwijst. Je kunt dan bepalen of dit een betrouwbaar adres is (is dit het adres van de peer?) en dan kan je dit bevestigen met het ceriticaat. Van daar weet je dat je op het juiste adres zit. Je moet wel zorgvuldig zijn en je gezond verstand gebruiken maar je hoeft er geen Einstein voor te heten.
09-07-2022, 17:36 door Anoniem
Door Erik van Straten: Voor zover ik heb kunnen vinden (please correct me if I'm wrong), is er niets in deze software waardoor je met enige zekerheid weet met wie of met welke organisatie je communiceert.

Volgens mij niet. Ik weet niet hoe dit in de embedded oplossing is te controleren, maar het Matrix protocol heeft als adresformaat '@username:domeinnaam.tld', waarbij je op een eigen Synapse matrix server kan laten connecteren. Een dergelijke oplossing zorgt er voor dat je zlef via de matrix.org servers nog steeds end-to-end praat met de juiste persoon.

Je moet redelijk wat in je domein regelen om een matrix server te kunnen installeren, dat die ik een kwaadwillende nog niet zo snel doen. Wel even online registratie uitzetten op je eigen Synapse installatie.

@klantcontact:gemeente.nl geeft dan bijvoorbeeld een goede herkenning voor de eindgebruiker.
09-07-2022, 22:49 door Anoniem
Door Anoniem: Bedankt. We bekijken dit van verschillende hoeken en daarom verschillen we van mening. Jij richt je tot mensen die "het niet snappen" en ik richt mij tot mensen die "het wel snappen".

Je kunt bewustzijn/zorgvuldigheid niet vervangen denk ik en ik zie dat ook niet als een houdbaar doel. Ik focus op een publiek dat bewust/zorgvuldig is, en ik wil het makklijker maken voor dat publiek. Dat helpt trouwens uiteindelijk de andere groep tot op zekere hoogte ook maar uiteindelijk moet er wel een basis zijn.

Je browset naar foo.nl omdat je weet dat dit het adres van je peer is. Het certificaat bevestigd dit. Van daar ga je er vanuit dat foo.nl de persoon waarmee je spreekt authoriseert. De end-to-end encryptie kan iets toevoegen voor wat betreft integriteit.

Als je zo'n phishing mail ontvangt dan is het belangrijke het adres waar het naar verwijst. Je kunt dan bepalen of dit een betrouwbaar adres is (is dit het adres van de peer?) en dan kan je dit bevestigen met het ceriticaat. Van daar weet je dat je op het juiste adres zit. Je moet wel zorgvuldig zijn en je gezond verstand gebruiken maar je hoeft er geen Einstein voor te heten.

Voor de duidelijkheid: dit is speculatie. Ik ken deze app niet maar zo gebruik ik GPG met TOFU. De key is gekoppeld aan het domein en het domein publiceert de public key via https. Dus de https zorgt voor authenticity. Dit is makkelijker dan WOT maar je moet wel zorgvuldig zijn (opletten dat je de key importeerr van het juiste domein en controlleren dat er een goed certificaat is gekoppeld aan het domein). Als je dit via `gpg --locate-keys foo@bar.tld` doet dan werkt dat zonder dat het veel moeite kost.
10-07-2022, 14:33 door Erik van Straten - Bijgewerkt: 10-07-2022, 14:44
Door Anoniem: Bedankt. We bekijken dit van verschillende hoeken en daarom verschillen we van mening. Jij richt je tot mensen die "het niet snappen" en ik richt mij tot mensen die "het wel snappen".
Dank, nu begrijp ik je beter. Mocht het je toch interesseren, het volgende.

Door Anoniem: Je kunt bewustzijn/zorgvuldigheid niet vervangen denk ik en ik zie dat ook niet als een houdbaar doel.
Daarin verschillen we van mening! Zo vind ik het onbegrijpelijk dat in Firefox de URL-balk by default onderaan het scherm staat. En helemaal dat je niet in een oogopslag het verschil ziet tussen een DV, OV en EV certificaat (desnoods moet je dat aanzetten). In Firefox voor Android kun je zelfs helemaal niet meer achterhalen om wat voor certificaat het gaat en wat de kennelijke organisatie is.

Door Anoniem: Je browset naar foo.nl omdat je weet dat dit het adres van je peer is.
De meeste internetters (vooral ING-klanten die geen app gebruiken) weten wel dat ing.nl (en wellicht ing.com) van ING is, maar begrijpen niet dat bar-foo.com een andere eigenaar kan hebben dan bar.foo.com, en datzelfde geldt voor twitter-badge-protect.info vs. twitter.com en ing-fraude-afdeling.com versus ing.nl (en ing.com).

Als cybercriminelen de site inhoudelijk kopiëren zien surfers dan verder nergens betrouwbare informatie van welke organisatie die site is (vastgesteld door een TTP, Trusted Third Party, zoals certificaatproviders of organisaties zoals Thuiswinkel waarborg, zie ook [1] - maar dan moet de surfer daar wel de correcte URL van kennen). Het zou al kunnen helpen als je, door op de domeinnaam in de browser te klikken, voor "zoek op internet naar deze domeinnaam" zou kunnen kiezen. Gebruikers moeten nu veel meer weten dan nodig is.

[1] https://www.consumentenbond.nl/online-kopen/keurmerken-webwinkels

Door Anoniem: Als je zo'n phishing mail ontvangt dan is het belangrijke het adres waar het naar verwijst. Je kunt dan bepalen of dit een betrouwbaar adres is (is dit het adres van de peer?) en dan kan je dit bevestigen met het ceriticaat. Van daar weet je dat je op het juiste adres zit.
Het eerste probleem is dat het het https servercertificaat bevestigt dat de browser daadwerkelijk verbinding heeft met ing-fraude-afdeling.com, maar dat de gebruiker nergens uit op kan maken dat die site niet van ING is. Funest daarbij is dat veel mensen geleerd is dat een groen slotje een veilige website betekent (zie bijv. [2], [3]) en dat je je ervan moet verzekeren dat de URL begint met "https://". Maar van dat soort instructies blijk je keer op keer niet op aan te kunnen, want de meeste browsers laten https:// (en www.) ondertussen niet meer zien. Ook is het slotje meestal niet groen meer en dreigde of dreigt helemaal te verdwijnen [5]. Elke verandering leidt tot slachtoffers!

[2] Uit https://www.seniorweb.nl/tip/herken-een-veilige-website:
Herken een veilige website
en als je onder het kopje "Https" kijkt:
Tegenwoordig zijn bijna alle websites beveiligd.
[...]
Https geeft de volgende garanties:
[...]
- Echtheid
Ook wel authenticiteit genoemd. De gebruiker kan er zeker van zijn dat de website in kwestie echt is en geen kopie van criminelen of oplichters.
[...]
Toegegeven, na bovenstaande misleidende tekst kun je lezen (als de lezer zover komt):
Let wel goed op: deze beveiliging (https) zegt niets over de inhoud van websites. Ook criminelen kunnen websites bouwen die werken met deze beveiliging. U loopt dan evengoed risico te worden opgelicht. De beveiliging met https zegt alleen iets over de verbinding met de website.
Tegenstrijdige informatie dus, moeilijker kunnen we het niet maken :-(

[3] Uit https://www.veiligbankieren.nl/veiligheid-betaalproducten/veilige-website-bank/:
Veilige website van mijn bank
[...]
Met  www.checkjelinkje.nl  [4] kunt u iedere link en ieder webadres controleren waar u over twijfelt!

Wat is een veilige website?
Daarna volgt een lang, langdradig en ingewikkeld verhaal dat je op "https" moet letten. Helaas kun je pas daaronder lezen wat correcte domeinnamen van Nederlandse banken zijn. Waarom begint deze pagina daar niet mee? En waarom lees ik nog op zoveel plaatsen "veilige website" terwijl https daar niets over zegt?

[4] Toen ik zojuist op https://checkjelinkje.nl/ invoerde: twitter-safeguard-protection.info/appeal/ gaf Checkjelinkje een rode pagina en vermeldde dat het volgens Google om een phishingsite ging/gaat, maar dat deze site momenteel niet bereikbaar is. Toen ik echter de eerstvolgende SAN (Subject Alternate Name) uit het certificaat invoerde: twitter-badge-protect.info/appeal/ bleek die https site live te zijn en had checkjelinkje.nl (en volgens die site ook Google) daar niets op aan te merken. Bij het zelf opnenen van hxxps://twitter-badge-protect[.]info/appeal/ zag ik dat Elon Musk en anderen daar, onder "Log in to Twitter Help Center", gewoon hun Twitter credentials kunnen invoeren. Ook Checkjelinkje betekent dus schijnveiligheid, want bij (nog) onbekende sites klopt het advies vaker niet dan wel.

[5] https://www.security.nl/posting/712275/Chrome+gaat+als+experiment+slot-icoon+vervangen+door+%27meer+neutrale%27+knop).

Het tweede probleem (wat ik al aangaf) is dat, als een internetter de juiste domeinnaam kent (zoals security.nl of bol.com), het onmogelijk is om aan de naam te zien dat bol.com.prijspakkers.com niet van bol.com is. Internetters wordt namelijk niet geleerd om dat onderscheid te maken: notabene de overheid (iets met goede voorbeeld geven) gooit de ene na de andere website online waarvan de domeinnaam niet op .overheid.nl eindigt. En een internetter dus niet (eenvoudig) kan weten dat een gekopieerde site met afwijkende domeinnaam niet van de overheid is.

Voorbeeld: als je solliciteert is, net als bij de meeste bedrijven, één extra puntje in de domeinnaam kennelijk teveel van het goede (werkenbijdeoverheid.nl i.p.v. werkenbijde.overheid.nl, korter kan ook en iedereen snapt het: werkenbij.overheid.nl).

Pas als we dit structureel veranderen heeft het zin om aan internetters uit te leggen wat in een URL de domeinnaam is en daarna dat, als je de domeinnaam van rechts naar links leest, het eerste sublevel domein (met enige uitzonderingen, zoals .co.uk) de eigenaar is van dat domein en van alle subdomeinen (gescheiden door punten).

Vóórdat software als Chatterbox daadwerkelijk op legitieme sites wordt ingezet, volstaat de aankondiging van "veilige chatsoftware dankzij E2EE" en "op Matrix gebaseerd" al voor phishers om iets dat er net zo uit ziet, in te zetten op phishing sites - omdat dit extra veiligheid suggereert.

Er valt nog heel veel te verbeteren om gewone internetters te helpen beschermen.
10-07-2022, 15:09 door Erik van Straten
Door Anoniem: @klantcontact:gemeente.nl geeft dan bijvoorbeeld een goede herkenning voor de eindgebruiker.
Ok, de gebruiker ziet @klantcontact:gemeente-amsterdam.nl. En dan?

De Twitter scam van vorig weekend was gericht op het overnemen van accounts van "geverifieerde gebruikers" (door Twitter) die daarom een blauw vinkje hebben, dus altijd 100% betrouwbaar is dit niet - maar wel redelijk. Probleem: phishers kunnen op fake websites zoveel vinkjes zetten als ze willen.

Wat we missen is een betrouwbare en goed uit te leggen manier om vast te stellen dat iemand die zegt medewerker van organisatie X te zijn, dat daadwerkelijk is. Én vooral dat het voor fraudeurs moeilijk tot onmogelijk is om zich voor te doen als iemand anders, en je dus betrouwbaar door zo'n systeem gewaarschuwd kunt worden als je belazerd wordt. Enigszins vergelijkbaar met thuiswinkel.org voor webwinkels.

Ik heb hier wat ideeën over en ga daar nog eens verder op broeden.
11-07-2022, 09:20 door Anoniem
Door Erik van Straten:

Door Anoniem: Je kunt bewustzijn/zorgvuldigheid niet vervangen denk ik en ik zie dat ook niet als een houdbaar doel.
Daarin verschillen we van mening! Zo vind ik het onbegrijpelijk dat in Firefox de URL-balk by default onderaan het scherm staat. En helemaal dat je niet in een oogopslag het verschil ziet tussen een DV, OV en EV certificaat (desnoods moet je dat aanzetten). In Firefox voor Android kun je zelfs helemaal niet meer achterhalen om wat voor certificaat het gaat en wat de kennelijke organisatie is.

Ik zeg niet dat een en ander niet duidelijker zou kunnen zijn in sommige producten. Er zal best wel ruimte zijjn voor verbeteringen. Ik stel alleen dat er wel een basis moet zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.