Onder meer om aanvallen via gekopieerde websites lastiger te maken, moet het m.i. voor bezoekers duidelijker worden wie de eigenaar van een website is. En dat kan niet met informatie in de website zelf, daar zijn betrouwbare TTP's en aanpassingen in webbrowsers voor nodig.

Zie https://www.security.nl/posting/803010/Browsers_CSP%27s+security%2B%2B.

Inderdaad.

Ooit hebben we het Extended Validation Certificaat gehad.
De BigTech zagen hier geen technische reden meer voor. En hebben de herkenbaarheid ervan weggenomen. (groene balk).
Dat het technisch geen meerwaarde leverde (sterkere encryptie, etc), dat is correct.
Maar het heeft wel degelijk veel waarde gehad om aan te tonen wie de eigenaar was. Dat is nu verdwenen.

Tegenwoordig heb je op zijn best Domein Validated
Dat betekende dat mensen helemaal geen certificaten. Hier weet je niets méér dan dat het domein bestaat (maar dayt wist je al, je bent er zelf naar toe gesurft).

In Europa hebben we een nog beter certificaten systeem dan eerdere Extended Validation. Dat is het Qualified Web Authenticatie Certificaat (QWAC). Daar zitten commerciele Trust Service Providers achter die volgens de Europese regels (en zeer streng gecontroleerd) certificaten uitgeven (eIDAS en onderliggende normen). Ook de aansprakelijkheid is in die eIDAS geregeld (als iemand een fout maakt, dan zal die ook betalen). Met eIDAS moet ook de eigenaar van de website bekend/gecontroleerd zijn.

Deze webcertificaten zouden kunnen worden voorzien van het eIDAS label en blauwe balk.
En daarmee is herkenbaar dat de eigenaar bekend is bijd e Trust Service Provider.
Als er dan schade ontstaat, dan is de aansprakelijke te vinden. Lijkt me een heel nuttig instrument.

Alleen. De BigTech wil niet.
En hier moet Europa wetgeving voor maken.
Als BigTech de Europese certificaten niet erkend (en herkenbaar maakt) dan zouden die BigTech wat mij betreft geen diensten in Europa mogen leveren. En als BigTech weg blijft, dan ontstaan vanzelf kansen voor Europese diensatverl;eners en kunnen die BigTech worden.

Er is nog heel veel meer over te vertellen.
- Zoials eIDAS erkende handtekeningen/seals onder emails, etc

Aha, dus feitelijk gewoon weer het probleem dat een gewone gebruiker in Windows veel te veel mag.
Maak het nou onmogelijk dat gewone gebruikers software installeren, by default. Het kan nu wel worden geconfigureerd maar te weinig mensen gaan daar moeite in steken. Laat ze liever moeite steken in het uitschakelen van een standaard aanwezige beveiliging, dan zijn ze er tenminste zelf bij.

Ik neem aan dat bedrijven, zeker grote (overheids) bedrijven zorgen dat mensen standaard geen software mogen installeren,
of als ze dat wel mogen, dat ze dan op zijn minst een menu/vraag krijgen of ze iets willen installeren, het liefst dat ze dan hun inlog en password moeten invullen. Of nog mooier dat het via een 2de account met installatie rechten heeft (maar geen log in rechten)

Heel vermakelijk. Ik ben het trouwens deels eens met Anoniem 11:24.

Kleine toelichting: Ik ben dus voorstander van het principe van de minste privileges afdwingen. Er is trouwens niets meer bevredigend dan integriteit bij een liberaal afdwingen.

Maar die aanname strookt niet met wat Microsoft schrijft "Overheidsinstanties en defensiebedrijven in Europa en de Verenigde Staten zijn aangevallen via een zerodaylek in Microsoft Office waarvoor nog geen patch beschikbaar is ... Volgens Microsoft wordt via de malafide documenten een backdoor geïnstalleerd"

Dat zou niet moeten kunnen.
Op systemen in ons bedrijf worden executables alleen uitgevoerd als ze in Windows of Program Files* staan. Als je iets download wat executable is dan komt dat uiteraard in je user directory te staan en werkt het niet.
Dat zou default zo moeten zijn, niet alleen nadat je daar een policy voor gemaakt hebt. Anders is het niet simpel genoeg voor "Overheidsinstanties en defensiebedrijven in Europa".
En Microsoft zou ook alle smerige truukjes waardoor (hun eigen) installers met elevated privileges draaien default uit moeten zetten. Er is nu veel te veel voor beheerders om achter aan te moeten rennen, maak het liever zo dat ze moeten gaan studeren als er eens een keer WEL software door een gebruiker geinstalleerd moet kunnen worden op een machine.

Microsoft past zelf ook "trucjes" toe voor hun software, zodat gebruikers zonder admin rechten alsnog software kunnen downloaden en installeren (ja ik bedoel jou gedrocht Teams). Op die manier kan malware ook draaien en na een herstart weer actief worden na het inloggen op de machine. Persoonlijk vind ik onbegrijpelijk dat dit nog steeds kan, of er spelen andere belangen of gebruikersprofielen kunnen anders niet correct functioneren zonder het hele besturingssysteem overhoop te gooien / opnieuw te ontwerpen.

Dat is natuurlijk een beetje het probleem met Microsoft, het is populair omdat het zo gebruiksvriendelijk is maar dat betekent ook dat je hier en daar compromissen moet sluiten mbt beveiliging.

Je kunt alles dicht timmeren maar dan heb je grumpy gebruikers, bij ene beetje grote onderneming kun je als gebruiker helemaal niets op je werkstation buiten je user space.

Weet iemand of dit alleen .doc is (zoals te zien op de screenshot) - iets wat je al lang had moeten blokkeren. Of dat het ook voor docx geldt? Dit is niet terug te vinden in de CVE/Microsoftbronnen.

Er is trouwens ook een patch uit, vanaf 2302 is deze exploit gepatched volgens Microsoft: ". In addition, customers who use Microsoft 365 Apps (Versions 2302 and later) are protected from exploitation of the vulnerability via Office"

Volgens https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit ging het, in de twee door hen onderzochte gevallen, om .docx.

Het is helemaal niet gebruiksvriendelijk. Het is populair geworden omdat Bill vroeger iets verkocht wat je niet kreeg. Vervolgens werd er illegaal een monopoly gecreëerd (waarvoor men is veroordeeld) en daar zitten we nog aan vast. Hierdoor kan je niet zomaar de stekker er uit trekken door diverse vendor locks. IK ken wel bedrijven die dat heel knap hebben gedaan. DIe zijn nu spekkoper.

"Dat is natuurlijk een beetje het probleem met Microsoft, het is populair omdat het zo gebruiksvriendelijk is maar dat betekent ook dat je hier en daar compromissen moet sluiten mbt beveiliging. "

ja maar zeg je nu dat andere systemen misschien wel een 'out of the box' veiliger zijn?