Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
rant - onveiliginternetten.nl
Uit https://veiliginternetten.nl/thema/basisbeveiliging/cybercrime/zijn-verkorte-links-veilig/ (snapshot: https://archive.is/fMozn), mogelijk gemaakt met uw en mijn belastingcenten:
Je vertrouwt blind op een onbekende derde partij die bovendien de gegevens van bezoekers van "jouw" link verzamelt en verkoopt. Een derde partij die mogelijk tot nu toe betrouwbaar leek, maar die vanmiddag nog door de één of andere Elon Musk gekocht kan worden. Sowieso kan de huidige of volgende eigenaar voor elke klikker individueel besluiten om deze naar een andere website te sturen. Of om helemaal niet (c.q. nooit meer) door te sturen. De kans op nooit meer lijkt mij klein, naar een reclamesite is altijd lucratiever.
Maar het kan erger, tevens uit genoemde pagina:
De auteur snapt er echt niks van, verderop in de pagina staat:
* Niet op klikken, AitM-gevoelige link
Want de linkt onder checkjelinkje.nl luidt:
http://checkjelinkje.nl/
Een goede reden om geen Chrome onder Android te gebruiken, want als ik daarmee in https://veiliginternetten.nl/thema/basisbeveiliging/cybercrime/zijn-verkorte-links-veilig/ wat langer op die link druk, zie ik bovenaan de popup:
De redirect naar https:// werkte wel bij mij, maar niet volgens https://internet.nl/site/checkjelinkje.nl/3186606/#control-panel-8.
Overigens waren er bij het Chromium team ooit mensen die er iets van leken te begrijpen, en een onbetrouwbaar (en privacy-onvriendelijk) protocol {1} de wereld in hielpen, uit https://www.chromium.org/hsts/:
Weetje: de mogelijk meest bezochte website op de wereld (http://google.com*) biedt geen HSTS (en staat ook niet op de HSTS preload list).
{1} Niet alleen onbetrouwbaar vanwege ontbrekende of stomme implementaties (voorbeelden: https://internet.nl/site/almere.nl/3186683/#control-panel-10 en, bekend van Kifid, de klant zit fout tenzij de klant fout zit, https://internet.nl/site/icscards.nl/3186697/#control-panel-10).
Gelukkig is http://terrorismeverzekerd.nl*.
(Veel geluk gewenst als uw browser u niet waarschuwt als u op bovenstaande link klikt).
P.S. Ik heb een eenvoudige fix bedacht voor het http-versus-https-probleem, dat ik binnenkort hoop te publiceren.
Zijn verkorte links veilig?
Nee, nooit.Je vertrouwt blind op een onbekende derde partij die bovendien de gegevens van bezoekers van "jouw" link verzamelt en verkoopt. Een derde partij die mogelijk tot nu toe betrouwbaar leek, maar die vanmiddag nog door de één of andere Elon Musk gekocht kan worden. Sowieso kan de huidige of volgende eigenaar voor elke klikker individueel besluiten om deze naar een andere website te sturen. Of om helemaal niet (c.q. nooit meer) door te sturen. De kans op nooit meer lijkt mij klein, naar een reclamesite is altijd lucratiever.
Maar het kan erger, tevens uit genoemde pagina:
Met de twee bekendste websites voor het verkorten van linkjes, Bitly en TinyURL, krijg je voor deze webpagina dit:
http://bit.ly/1FEbbAJ en
http://tinyurl.com/ohpkk2z.
http://bit.ly/1FEbbAJ en
http://tinyurl.com/ohpkk2z.
De auteur snapt er echt niks van, verderop in de pagina staat:
Je kunt ook gebruikmaken van de online tool checkjelinkje.nl* om te bekijken waar je terechtkomt als je op een verkorte link of gewone link klikt en of die website waarschijnlijk veilig is.
De tekst horende bij het sterretje is kennelijk weggevallen, die voeg ik hier toe:* Niet op klikken, AitM-gevoelige link
Want de linkt onder checkjelinkje.nl luidt:
http://checkjelinkje.nl/
Een goede reden om geen Chrome onder Android te gebruiken, want als ik daarmee in https://veiliginternetten.nl/thema/basisbeveiliging/cybercrime/zijn-verkorte-links-veilig/ wat langer op die link druk, zie ik bovenaan de popup:
checkjelinkje.nl
checkjelinkje.nl
(In Chrome/Android zie je dus niet of het om bijvoorbeelde morse:// of ftp:// gaat. Aanvulling 16:42: voor een screenshot hiervan zie https://infosec.exchange/@ErikvanStraten/114144548549684489). In Firefox onder Android zie ik trouwens:checkjelinkje.nl
http://checkjelinkje.nl
De redirect naar https:// werkte wel bij mij, maar niet volgens https://internet.nl/site/checkjelinkje.nl/3186606/#control-panel-8.
Overigens waren er bij het Chromium team ooit mensen die er iets van leken te begrijpen, en een onbetrouwbaar (en privacy-onvriendelijk) protocol {1} de wereld in hielpen, uit https://www.chromium.org/hsts/:
The issue that HSTS addresses is that users tend to type http:// at best, and omit the scheme entirely most of the time. In the latter case, browsers will insert http:// for them.
However, HTTP is insecure. An attacker can grab that connection, manipulate it and only the most eagle eyed users might notice that it redirected to https://www.bank0famerica.com or some such. From then on, the user is under the control of the attacker, who can intercept passwords, etc at will.
Een zinloze poging van Mozilla om Firefox minder risicovol te maken op dit aspect: https://security.nl/posting/879004.However, HTTP is insecure. An attacker can grab that connection, manipulate it and only the most eagle eyed users might notice that it redirected to https://www.bank0famerica.com or some such. From then on, the user is under the control of the attacker, who can intercept passwords, etc at will.
Weetje: de mogelijk meest bezochte website op de wereld (http://google.com*) biedt geen HSTS (en staat ook niet op de HSTS preload list).
{1} Niet alleen onbetrouwbaar vanwege ontbrekende of stomme implementaties (voorbeelden: https://internet.nl/site/almere.nl/3186683/#control-panel-10 en, bekend van Kifid, de klant zit fout tenzij de klant fout zit, https://internet.nl/site/icscards.nl/3186697/#control-panel-10).
Gelukkig is http://terrorismeverzekerd.nl*.
(Veel geluk gewenst als uw browser u niet waarschuwt als u op bovenstaande link klikt).
P.S. Ik heb een eenvoudige fix bedacht voor het http-versus-https-probleem, dat ik binnenkort hoop te publiceren.
Reacties (4)
Gisteren, 16:54 door
Anoniem
Het artikel begint met:
Als je een webadres wilt delen op Twitter, is het vaak te lang.
Naast dat Twitter niet meer bestaat (want het heet al tijden X nu) klopt dit ook niet, want de lengte van een link telt helemaal niet mee voor twitter.
Bron: https://docs.x.com/resources/fundamentals/counting-characters
Sinds dat Bitly op hun gratis accounts advertenties toont zullen bedrijven hopelijk eens stoppen met het gebruik daarvan.
https://www.dailybits.be/item/de-bit-ly-advertenties-vanaf-maart-2025/
Verkorte links kunnen op zich best veilig zijn overigens, als de organisatie ze op hun eigen domein zet. Denk aan example.nl/verkort of dergelijke.
Als je een webadres wilt delen op Twitter, is het vaak te lang.
Naast dat Twitter niet meer bestaat (want het heet al tijden X nu) klopt dit ook niet, want de lengte van een link telt helemaal niet mee voor twitter.
Bron: https://docs.x.com/resources/fundamentals/counting-characters
Sinds dat Bitly op hun gratis accounts advertenties toont zullen bedrijven hopelijk eens stoppen met het gebruik daarvan.
https://www.dailybits.be/item/de-bit-ly-advertenties-vanaf-maart-2025/
Verkorte links kunnen op zich best veilig zijn overigens, als de organisatie ze op hun eigen domein zet. Denk aan example.nl/verkort of dergelijke.
Gisteren, 18:15 door
Erik van Straten
Door Anoniem: Verkorte links kunnen op zich best veilig zijn overigens, als de organisatie ze op hun eigen domein zet. Denk aan example.nl/verkort of dergelijke.
Dat kan, maar ik zie steeds vakerhttps://server-van-derde-partij.example.nl/3c7Gs
o.i.d. (i.p.v. "server-van-derde-partij" staat er iets als "link" of "kort", dus https://kort.example.nl/3c7Gs).
Dat is natuurlijk gewoon bezoeker-belazeren (en een allang zeer gangbare truc voor mailingdiensten). Die derde partij krijgt er "vanzelfsprekend" probleemloos een DV (Domain Validated) website-certificaat voor.
Mocht zo'n derde partij gehacked worden of zelf de fout in gaan, dan verwacht ik een juridisch wespennest en een "het is niet onze schuld" richting de consument/patiënt/klant/bezoeker.
Mastodon (in elk geval https://infosec.exchange) heeft een slim ingebouwd algoritme om lange URL's in te korten (in elk geval is de domeinnaam zichtbaar).
Gisteren, 20:14 door
Anoniem
Aanvulling checkjelinkje:
- Het enige wat ze doen is aan Google "Safe" Browsing vragen of zij denken dat het veilig is, ze checken zelf niets. ("Safe" tussen quotes omdat er niets safe is aan het doorgeven van je alle links aan de grootste privacy schender in de wereld.)
- ze zijn nergens voor aansprakelijk: "De op de Website aangeboden materialen worden aangeboden zonder enige vorm van garantie of aanspraak op juistheid."
- Het is een commercieel bedrijf waar de overheid van onze belasting centen reclame voor maakt op veiliginternetten.nl
- Het enige wat ze doen is aan Google "Safe" Browsing vragen of zij denken dat het veilig is, ze checken zelf niets. ("Safe" tussen quotes omdat er niets safe is aan het doorgeven van je alle links aan de grootste privacy schender in de wereld.)
- ze zijn nergens voor aansprakelijk: "De op de Website aangeboden materialen worden aangeboden zonder enige vorm van garantie of aanspraak op juistheid."
- Het is een commercieel bedrijf waar de overheid van onze belasting centen reclame voor maakt op veiliginternetten.nl
Vandaag, 09:38 door
Erik van Straten
@Anoniem 20:14: dank voor de aanvulling!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
