Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek

Mozilla-ontwikkelaar Nihanth Subramanya werkt aan een add-on voor Firefox die gebruikers moet waarschuwen als ze een site bezoeken die een datalek heeft gehad. Die functie moet uiteindelijk in de browser worden opgenomen.

Momenteel toont de add-on alleen dat een site voorkomt op Have I Been Pwned, een project van beveiligingsonderzoeker Troy Hunt waar gebruikers hun gebruikersnaam of e-mailadres kunnen invullen om erachter te komen of die in uitgelekte databases voorkomt, zoals die van LinkedIn of Adobe. De beveiligingsonderzoeker zegt tegen Bleeping Computer dat hij met Mozilla samenwerkt en dat ze kijken op welke manier ze gebruikers kunnen waarschuwen.

Volgens de GitHub-beschrijving van de add-on, genaamd BreachAlerts, is de software een manier om een prototype te maken voor een functie die uiteindelijk direct door de Firefox-browser ondersteund moet worden. Gebruikers die de code nu willen uitproberen, hebben daarvoor de ontwikkelaarsversie van Firefox nodig. De add-on toont nu een waarschuwing die is voorzien van een invulveld. Dat is momenteel niet actief, maar het lijkt erop dat gebruikers daar hun e-mailadres of gebruikersnaam kunnen invullen om er meteen achter te komen of hun gegevens voorkomen in de uitgelekte database van de site.

Het is nog onduidelijk of er meer diensten dan Have I Been Pwned aan toegevoegd worden. De Nederlandse politie zette onlangs bijvoorbeeld een soortgelijke dienst op.

Afbeelding via Bleeping Computer

Door

Nieuwsredacteur

31 Linkedin Google+

Reacties (31)

Wijzig sortering
Hoewel ik het op zich wel een interessant idee vind vraag ik me ook af wat voor gevolgen het heeft voor het gedrag van mensen. Als een site in 2012 een keer in breach heeft gehad en alle bezoekers er vervolgens in lengte van jaren op gewezen worden dat er ooit een breach was dan verandert hun houding ten opzichte van zo'n site, ook al is er al jaren een veel beter security beleid.

Hier in London gebruikt de politie vaak sandwichborden om getuigen van misdrijven te vinden. Uiteraard kan het helpen bij het oplossen van misdrijven maar het zorgt er ook voor dat veel mensen zich minder veilig zullen voelen omdat criminaliteit hoger lijkt dat het is. Zo heb ik een maand een bord voor de deur gehad waar gezocht werd naar getuigen van een steekpartij. Zonder dat bord had ik nooit geweten dat er iemand in mijn straat neergestoken was, nu werd ik er een maand lang iedere dag op gewezen.

Met zo'n functie als dit zul je al snel krijgen dat de meeste grote sites de afgelopen jaren wel eens een lek of lekje hebben gehad en dus zo'n waarschuwing geven. Stompt dat mensen niet af? Of is het goed dat iedereen er altijd van bewust is dat sites nou eenmaal wel eens data lekken? Drijft het mensen niet naar diensten die toevallig nog nooit zijn gehackt omdat ze nieuw zijn? Is het misschien een idee om dit alleen te laten zien bij sites waarvan de breach recent is, het afgelopen jaar bijvoorbeeld? Wat doe je dan met sites waarvan pas jaren later ontdekt wordt dat ze ooit een keer gehackt zijn geweest?

[Reactie gewijzigd door Maurits van Baerle op 23 november 2017 11:50]

Gedragskundigen kunnen hier uitsluitsel over geven maar die lijken zelden bij dit soort projecten betrokken te worden. Die situatie valt onder de terugkerende vraag wat het doel van de waarschuwingen echt is. Een onderwerp dat zich met suggestieve opmerkingen makkelijk laat kapen door uitersten in sociaal en egoistisch denken. Toch is de vraag zeer terecht en vraagt het om een antwoord.

Het prototype van Nihanth Subramanya en het artikel van van Bleeping Computer gaan alleen in op willen informeren. Of die noodzaak er is komt nog niet aan bod en dan is dat niet in overweging genomen of wel maar heeft het geen publieke uitleg. Gemiste kans voor tweakers en bleeping computer door niet in te gaan op het nut en de achtergrond. En waarom dat niet is gedaan maar er wel aandacht voor dit prototype is is ook niet duidelijk. Software ontwikkelen, beveiligingsonderzoek of berichten brengen om te informeren kan iedereen. De moeilijkheid zit in het willen en kunnen brengen van diepgang. Voorlopig is die er niet en bij Mozilla lijkt er ook geen signaal te zijn dat dit prototype van Catalin Cimpanu of de discussie waar Troy Hunt het over heeft serieuze doelen zijn binnen Mozilla.
Hoewel ik het op zich wel een interessant idee vind vraag ik me ook af wat voor gevolgen het heeft voor het gedrag van mensen.
Vergeet de gevolgen voor het gedrag van websites niet! Nu laat je je hacken, de gegevens van een miljard accounts (desnoods met plaintext wachtwoorden) lekken uit en je komt er vanaf met twee dagen media-aandacht die iedereen meteen weer vergeten is. Met dit systeem is het risico dat je klanten verliest (en/of geen nieuwe krijgt) een heel stuk groter.
En ja, er zijn een boel problemen mee. Ons strafrecht heeft de schandpaal al heel lang geleden afgeschaft, maar als je waarschuwingen gaat geven met als doel slecht beveiligde sites te straffen, dan is dat wel waar je eigenlijk mee bezig bent. Ook lijkt het wel erg veel op voor eigen rechter spelen.
Is het misschien een idee om dit alleen te laten zien bij sites waarvan de breach recent is, het afgelopen jaar bijvoorbeeld? Wat doe je dan met sites waarvan pas jaren later ontdekt wordt dat ze ooit een keer gehackt zijn geweest?
Een jaar vanaf het bekend worden (niet het plaatsvinden) van de hack zou ik zeggen. Dan weet je zeker dat iedereen (die minstens één keer per jaar bij een bepaalde dienst inlogt) op de hoogte is gebracht.

Voor de rest van je vragen (en degene die ik net zelf toevoeg), kan ik je helaas ook geen antwoorden geven.
Misschien ook wel interessant als een soort motivatie voor websites om iets extra's te doen aan security zodat ze hun "naam kunnen hooghouden".
1 van de dingen die ontwikkeld is tijdens een wedstrijd die Troy laatst hield was een extensie voor Chrome. Daarmee kan je op een website checken of je inloggegevens zijn gelekt. Dit idee van Mozilla zal daar wel van afgeleid zijn.

Chrome store en source code.

[Reactie gewijzigd door cracking cloud op 23 november 2017 10:10]

Dit idee van Mozilla zal daar wel van afgeleid zijn.
Het is geen idee van Mozilla. Het is een idee van een ontwikkelaar van Mozilla. Waarschijnlijk handelt hij uit eigen initiatief als soort hobbyproject. Hij moet daar mee oppassen.
Hij moet daar mee oppassen.
Waarom, wat is het (mogelijke) probleem waar je bang voor bent?
Met behulp van de Chrome Store Foxified addon kan je die extension ook gebruiken in Firefox. Heb het getest en het werkt :)
Mooi idee, maar het kan groter!
Ik hoop dat ze een generiek mechanisme opzetten dat niet gebonden is aan één site (zoals Have I Been Pwned) maar gebruik kan maken van verschillende bronnen. Partijen als Microsoft, Firefox, Have I Been Pwned en de Nederlandse politie kunnen dan allemaal hun eigen lijst publiceren van sites die ze niet vertrouwen.

Als gebruiker kun je dan kiezen welke bronnen jij vertrouwt en wat er dan moet gebeuren. BV "Blokkeer een site volledig als die op drie lijsten staat, maar geef een waarschuwing als een site maar op één lijst staat."

Door met verschillende lijsten te werken kunnen we ook het probleem opvangen dat bedrijven niet moeten worden afgerekend op een fout van 10 jaar geleden als ze daarna hun leven hebben gebeterd.

Om het helemaal fancy te maken kun je nog wat AI gebruiken om slim meerdere lijsten te combineren zoals SpamAssassin dat doet met spam blacklists, zodat je meer of minder waarde aan een bepaalde lijst kan geven naar gelang je eigen behoeftes en ervaringen.
Het gaat er niet zozeer om dat de site niet te vertrouwen is (phishing sites en andere malafide sites), maar dat de site ooit eens gehackt is, en je wachtwoord dus misschien op straat ligt. Maar inderdaad, meerdere bronlijsten zijn natuurlijk altijd goed.
goede zaak,
echter lijkt me het intypen van e-mail en wachtwoord niet echt noodzakelijk indien de gebruiker er eerder voor gekozen heeft de credentials op te slaan in de browser.
in dat geval zou dit gedeelte automatisch moeten kunnen.
Dit lijkt me zeer onwenselijk, een add-on heeft niets te zoeken in de opgeslagen wachtwoorden van mij browser!
wachtwoord kun je dan ook niet zien en is niet nodig, alleen je mailadres/username is dan nodig. of je het nou zelf invult of dat het automatisch gaat maakt dan niet uit

[Reactie gewijzigd door mjz2cool op 23 november 2017 10:13]

Dan zou er ook bij de add-on bekend moeten zijn wat het id van het veld is, en een website kan dat aanpassen of zelfs dynamisch maken. Dus ook lastig te implementeren.
Oke, maar hoelang geeft die add-on de melding ?

Bijvoorbeeld dat een site 10 jaar geleden een datalek heeft gehad in een bepaald stukje software, word de melding dan nu nog gegeven (terwijl men al tig malen andere software heeft draaien) ?

Dit om te voorkomen dat er altijd een label aan je site blijft hangen.
Of die lek lang geleden is en reeds gedicht is, maakt weinig uit. Je gegevens zijn gestolen en die veranderen zelden of niet.
Ik bedoel het meer zoals de reactie van Maurits (laatste stukje) : Maurits van Baerle in 'nieuws: Mozilla-ontwikkelaar test Firefox-notificatie ...

Zo'n label kan je blijven achtervolgen!
Zo'n label kan je blijven achtervolgen!
Met andere woorden: echte consequenties als je je beveiliging niet op orde hebt. Gegeven het aantal enorme hacks, vooral ook bij bedrijven die toch echt beter zouden moeten weten... Is dat niet juist goed? Als dit de truc is om ontwikkelaars wakker te schudden...

En ja, ik zie het probleem dat het wel erg veel lijkt op voor eigen rechter spelen, maar alle andere oplossingen (voor iets wat overduidelijk een serieus probleem is) hebben totaal niet gewerkt... Ik zou ook liever een alternatief zien, maar zelfs zeer hoge boetes zijn kennelijk goedkoper dan beveiliging correct implementeren en een bedrijf kun je nou eenmaal niet in de cel gooien.
Dat klopt ALS je het niet op orde hebt.
Maar als je het probleem hebt opgelost dan kan het je blijven achtervolgen (want in de tekst staat heeft gehad). Zou het dan niet beter zijn dat het na X jaren "verjaard" indien men nu de zaakjes WEL goed op order heeft ?
Dat niet alleen. Z'n beetje elke website krijgt dan een label/melding als je ziet de afgelopen tijd is er nogal wat gehackt. Tweakers is een van de weinige die geen hack heeft gehad :Y) .
Wie zijn wachtwoord heeft veranderd hoeft de melding niet meer te zien. De wachtwoordbeheerder houdt bij wanneer de laatste wijziging heeft plaats gevonden.

[Reactie gewijzigd door Alex3 op 24 november 2017 08:58]

Goede add-on, de uitvoering lijkt me alleen niet handig. Nu lijkt het alsof je zonder reden een emailadres in moet vullen. Bovendien kan de Have I Been Pwned site alles in 1x checken en lijkt het me dus ook niet handig om per site te checken, zet dan een knop neer om alles te checken en laat alleen een "hey, deze site is recent gehackt" zien.
Haha, ja dat dacht ik ook. Dit lijkt op een 'JE HEBT EEN VIRUS KLIK HIER OM JE PC SCHOON TE MAKEN!!!'-attack :D
de uitvoering lijkt me alleen niet handig
Dit is de allereerste versie; voordat het standaard in Firefox wordt opgenomen zullen de details echt nog wel verbeterd worden.
Nee dat snap ik goed, er zal heus nog wel aan gewerkt worden en dit is eigenlijk ook nog maar een proof of concept maar dit is wat me in eerste instantie opviel :) misschien had ik beter kunnen zeggen "Deze uitvoering".
Dat een Mozilla developer er uiteindelijk voor moet kiezen om een legacy addon te schrijven maakt wel weer pijnlijk duidelijk hoe beperkt de nieuwe webextensions API is.
Lees vooral de REAMDE.md even in het GitHub repo. Het is puur voor portability naar mozilla-central.
Feit is dat de "nieuwe" api veel meer beperkingen heeft.
Dat was ook gedeeltelijk het doel. De beperkingen zorgen ervoor dat de extensies beter performen en minder veiligheidslekken veroorzaken.

De situatie nu is niet perfect. Als je het mij vraagt is het gewoon nog niet af genoeg. Maar ik denk dat als het stof gezakt is, de verbeteringen positief zullen zijn.
Vrij vertaald met negatieve insteek: zelfs wanneer de "je moet Chrome worden om Chrome te verslaan"-attitude oppervlakkig gezien acceptabel lijkt, bestaan er nog extra onvoorziene problemen. Bv. het moeilijker maken om een prototype te mainlinen. O-)
Ik vraag me af of hij er zelfs maar over na gedacht heeft dat er ook security keerzijden aan zijn ontwerp zitten. De onderzoeker/ontwikkelaar stapt met dit ontwerp af van privacy by design en werkt daarmee niet in lijn met de ontwikkeling binnen Mozilla. Ook is volstrekt onduidelijk wat hij met die waarschuwingen wil bereiken behalve waarschuwen.

Troy Hunt van Have I been powned heeft er weinig behoefte aan om het (beperkte) lijstje van domeinen als geheel publiek te delen en heeft liever dat je zijn API gebruikt zodat hij inzicht krijgt in waar interesses liggen in zijn (hier illegale) verzamelingen persoonsgegevens.

Niet bepaald een prettig idee dat een partij als Have I been powned hiermee volledig inzicht krijgt in welke domeinen je wanneer hebt bezocht voor een weinig zeggende waarschuwing.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*