IE7 geeft veilige sites 'groen licht'

En?
Dit is ook niet bedoeld voor je blogje, dit is voor grotere bedrijven waar je financieele transacties mee doet.
Door Phising worden gewone gebruikers tot beetgepakt.
Tegenwoordig is je token + pincode niet voldoende meer.
Als je als bank voor 400/500 dollar een veiligere verbinding voor al je klanten kan garanderen, totdat hier ook weer wat op komt, wat niet de schuld van MS is, maar van criminelen, is dit geen dure investering.
Of denk je dat al die tokens ook gratis zijn?

Ja vint ik ook!

Ik kan me bijna niet voorstellen dat dit niet te omzeilen valt...niet dat ik er nu een oplossing voor heb, maar de afgelopen jaren is wel gebleken dat er mensen zijn die trucjes verzinnen hiervoor. Wat mijn voornaamste zorg is dat als mensen een groen balkje zien nu per definitie denken veilig te zijn en dus helemaal niet meer opletten of er iets mis zou kunnen zijn. Mijn opmerking was dus niet bedoeld ten aanzien van de techniek op zich, het is goed dat er ontwikkelingen zijn om de boel veiliger te krijgen. Maar de reactie van de meeste internet gebruikers baart me wel zorgen.

k kan me bijna niet voorstellen dat dit niet te omzeilen valt

Ik denk niet dat jij weet waar je het over hebt.

Veiligheid is wel degelijk te garanderen. Zolang je maar onderscheid maakt tussen drie zaken:

1. elke vorm van communicatie tussen ontvanger en verstuurder kan veilig zijn ondanks een onbetrouwbare tussenpersoon. Denk hierbij aan PGP en SSH.

2. elke vorm van communicatie tussen ontvanger en verstuurder waarbij de ontvanger onbetrouwbaar is, is per defintie onbetrouwbaar. Denk hierbij aan DRM.

3. elk vorm van communicatie waar de boodschap dient te worden geinterpreteerd met een turing-machiene zal inherent onveilig, of op zijn minst, _irritant_ kunnen zijn. Er zijn dan twee mogelijkheden: of de software heeft minder rechten (en kan dus minder nuttig zijn), of de software kan zich naar gelieven misdragen. Denk hierbij aan virussen, trojans en spyware: er is geen tool die op voorhand in staat is ze te herkennen. (ookal beweren sommige van deze bedrijven van wel: het is niet waar, ze LIEGEN)

Over dit specifieke geval: certificaten
In het geval van certificaten, wat in categorie 1 hierboven valt, is de veiligheid afhankelijk van:

1. of je alle software die op je computer draait vertrouwt.
2. je het bedrijf dat die certificaten verstrekt vertrouwt.

Zelfs je eigen internet provider hoef je alleen te vertrouwen wanneer je IE7 download. Daarna zal de software instaat zijn te garanderen dat ze daadwerkelijk met de certificaat-instantie communiceren. Er is geen middle-man die zich kan voordoen als zodanig.

De basis van deze vorm van communicatie-veiligheid: encryptie. Ik zou zeggen google er op los en educate yourself. DRM zal altijd gekraakt worden, maar de postbode zal nooit je ge-encrypteerde post kunnen lezen. Aangezien je de sleutel er niet bij levert. En dat doe je wel in het geval van DRM.

Haal deze twee zaken niet door elkaar. En het feit dat software als Windows zo onveilig is, heeft alles te maken met categorie 3: ze staan op veels te veel plekken communicatie toe dat een turing-machiene vereist om de boodschap te 'lezen'. Voor meer informatie, google de Chomsky hierarchie of lees het boek 'Godel, Escher en Bach' van Douglas Hofstadter.

Het certifikaat is misschien veilig en je weet met wie je te maken hebt, maar de webserver kan nog steeds gehacked zijn. Het groene balkje geeft dus geen 100% garantie dat jouw persoongegevens in veilige handen zijn.

Hoe hoger de eisen zijn om een certifikaat te krijgen, des te minder sites zullen ook daadwerkelijk zo'n certifikaat hebben. Als er slechts een paar honderd sites wereldwijd zo'n certifikaat hebben dan is het een nutteloze tool. Als het certifikaat makkelijk te krijgen is dan zal de veilgheidsgarantie niet zo heel veel voorstellen.

Of grote blauwe schermvullende balken

je kan met een 'print screen' toch gewoon een groene site nabootsen als jpeg, door de site te openen in een browser zonder menu.

Nee, dat kan niet meer in IE7. Deze laat altijd de url zien waar je heen gaat als je een scherm opent zonder menubalk erin

Mensen clicken maar wat.
40% v/d mensen die naar dat kleurtje kijkt lijkt me al erg veel.
4% die elke URL gaat bekijken lijkt me nog onwaarschijnlijker.

Sure, maar MickeySoft kennende, hebben ze hier ook wel aangedacht en verwacht ik dat ze bij MS de API, die het balkje groen maakt, goed beschermt houden. Ik wacht dat het obscuur gehouden wordt en dat ze enkelt geregistreerde elementen van bijv. IE de kans geven om de check uit te voeren en dus het signaal af te geven.

Uiteraard kan alles misbruikt worden en verkloot worden.

Het lijkt mij dat de onderbouwing van mike_mike prima is.
Hoeveel mensen die een website beheren als hobby zullen zo een certificaat aanvragen?
Het kost gewoon teveel moeite/geld.

Resultaat:
a] Sites worden vermeden en de website beheerders stoppen ermee. Daarmee gaan het deel van internet dood wat ik het mooiste deel vind.

of

b] Slechts een enkeling kijkt naar die kleurtjes en surft lekker door. Resultaat heel het idee is waardeloos.

IE heeft momenteel trusted en restricted zones.
Ja, ik weet dat dat heel wat anders is. De vraag is hoeveel mensen hebben alles op trusted staan om lekker te kunnen surfen.
In ieder geval 1 persoon. Ik.
Ik zorg wel op andere manieren dat mijn PC schoon blijft...

Waarom zou iedere hobby site dan certificaten moeten hebben? Heb jij soms een hobby bank op je hobby site zodat mensen beveiligd kunnen internet bankieren met hobby geld? Weet je uberhaubt wel waar je het over hebt? Kom op hoeveel site's hebben nu een SSL certificaat? Ik zie voor de willekeurige chat sites of forums nog steeds geen https:// staan hoor.

Wat dacht je van een afbeelding van een window alsof het 'on top' ligt van een ander window. Net zoals die suffe 'your computer is at risk' popup look-a-likes.

zoals al aangegeven. IE7 laat altijd de adresbalk zien.