Dank voor jouw uitvoerige antwoord, maar ik ben het totaal niet met je eens.
emn13 schreef:
EV werkte niet.
Dat kan jouw ervaring zijn, maar mijn ervaring was dat het prima werkte, in eln geval voor banken en overheidssites (waaronder digid.nl).
emn13 schreef:
en het is gewoon te veel gevraagd om van mensen te verwachten dat ze zowel de DNS als het bedrijfsnaam als het land moeten controleren.
Wellicht vervelend en voor een deel van de mensen lastig, maar er is geen alternatief geïmplementeerd (en ik ken ook geen alternatief).
Op z'n minst zul je moeten weten van
wie een website is om, op basis van reputatie, in te schatten of je die partij voldoende kunt vertrouwen.
Het maakt nu nauwelijks nog uit of een website een DV- of een EV-cert heeft, met een mobiele browser zie je geen enkel verschil meer. En alle phishingsites hebben DV-certs.
emn13 schreef:
In praktijk zie je dat bedrijven heel vaak niet geregistreerd zijn waar je ze zou verwachten, of dat de bedrijfs of handelsnaam niet overeenkomt met het merknaam wat de website hanteert. EV kan in dat soort gevallen hoe dan ook verwarrend zijn.
Kan. Er zijn vast situaties waarbij er verwarring kan ontstaan bij specifieke organisaties, maar m.i. werkte het prima bij banken en andere veelbezochte sites. In elk geval kon
ik aan minder digitaalvaardige mensen uitleggen waar zij op moesten letten, nu is dat nauwelijks tot niet mogelijk.
emn13 schreef:
En niemand ooit checkt standaard details van certificaten
Ik wel. En ik weet van andere verstandige mensen dat zij dit doen. Dus niet niemand.
emn13 schreef:
Het is wel belangrijk dat sommigen dat wel kunnen doen; maar beschouw het meer als audit trail - je verwacht niet dat elke klant de boeken van elke business bekijkt waar die zaken mee doet, al profiteer je wel ervan dat sommigen dat soms wel doen (en kunnen doen).
Wat een onzinnige vergelijking.
Het vaststellen van de
identiteit van een zakenpartner is iets heel anders dan het uitzoeken of die zakenpartner betrouwbaar is.
Als een ander zich voordoet als jouw beoogde zakenpartner, is het totaal zinloos om de boeken van jouw beoogde zakenpartner te gaan bekijken voordat je zaken doet - met een identiteitsfraudeur.
emn13 schreef:
Het is ook zinvol hier om bij het attack-model stil te staan. Phishing attacks hoeven niet perse een hoge kans op slagen te hebben; sterker nog, een hele lage kans kan vaak nog uit. Als defender is het dus belangrijk dat je probeert hier echt idiot proof te zijn, en zelfs dan... Phishing attacks slagen vaak per toeval, als iemand toch al een relevant mailtje verwachtte, of zelf op reis is en denkt dat site-verschillen mogelijk daardoor en niet door een attacker komen, of om wat voor reden die er toevallig aan bijdraagt dat iemand de tekenen van een scam mist.
Ja en?
Ik wil aan mensen, die dat willen horen, kunnen uitleggen waar zij op moeten letten om niet in phishing en andere misleiding te trappen. Nogmaals, dat kan ik nu nauwelijks of niet.
emn13 schreef:
Een van de beste manieren om om fouten te verminderen is door dingen simpel te houden - ga dus niet van gebruikers verwachten dat ze DNS+bedrijfsnaam+kleur+land etc. in de gaten houden.
Leg mij dan maar eens uit hoe het simpel maar wel stukken beter kan dan nu. Of vind je dat het nu prima gaat en niet de verkeerde kant op?
Uit
deze pagina van de U.S. overheid:
• More than 90% of successful cyber-attacks start with a phishing email. A phishing scheme is when a link or webpage looks legitimate, but it’s a trick designed by bad actors to have you reveal your passwords, social security number, credit card numbers, or other sensitive information. Once they have that information, they can use it on legitimate sites. And they may try to get you to run malicious software, also known as malware. If it’s a link you don’t recognize, trust your instincts, and think before you click.
Phishing is één van de manieren waarmee aanvallers de netwerken van organisaties binnendringen, vertrouwelijke gegevens exporteren en ransomware uitrollen. En dat gaat echt heel erg de verkeerde kant op.
"Trust your instincts" is net zo idioot als tegen medewerkers van personeelszaken zeggen dat ze geen bijlagen moeten openen in e-mails van onbekende sollicitanten.
We
moeten mensen handvatten geven om hun werk te kunnen doen of privé niet in een val te trappen. Krijg je dat ooit waterdicht? Nee. Maar het kan stukken beter dan nu het geval is.
emn13 schreef:
Ik kan alleen concluderen dat EV verkopers niet echt checken wat je zou denken dat ze checken.
Dan had dat, en zou dat, veel harder aangepakt moeten worden. Het Internet is niet meer "leuk voor nerds" maar we zijn er als samenleving steeds meer van afhankelijk.
Zonder betrouwbare "trust anchors" is het volslagen idioot als wij straks ons paspoort op onze smartphone moeten zetten en, met verschillende betrouwbaarheidsniveaus, moeten authenticeren op websites
waarvan we geen idee hebben van wie zij zijn (
idem, onder plus artikel) - met grote risico's op privacy-inbreuken en identiteitsfraude als gevolg.
emn13 schreef:
EV certs zijn ook duur en omslachtig.
Duur? Weet je wat het jouw klanten kan kosten als zij in een val trappen van een partij die zich voordoet als jou?
Omslachtig? Mooi, dat schrikt cybercriminelen veel harder af dan nette mensen.
emn13 schreef:
Dan zijn er ook nog praktische problemen van EV in browsers; namelijk dat de UI-space die EV probeerde te gebruiken super waardevol is, zelfs of desktop, maar zeker op mobiel. Er is niet veel ruimte om hier iets te plaatsen, niet op desktop, maar zeker niet op mobiel. Je kunt daar niet zo maar iets toevoegen zonder netto iets anders minder nadruk te geven. Is het verstandig de DNS naam minder nadruk te geven ten faveure van de potentieel misleidende bedrijfsnaam?
Dat er op mobiele devices weinig ruimte is weet ik. Maar ik vind het essentieel dat ik (vooral als mij dat potentieel geld kan kosten of mij op andere wijze kan benadelen) alle noodzakelijke, en noodzakelijkerwijs betrouwbare, identificerende informatie van een website zichtbaar kan maken. Sterker, totdat ik weet dat een website niet nep is, ben ik nog geheel niet geïnteresseerd in de inhoud van die website.
emn13 schreef:
Het idee achter EV klinkt goed. Misschien had een ietsje andere implementatie ook goed kunnen werken, maar vergeet niet dat EV o.a. een revenue enhancer voor de cert bedrijven was
Als je grondige en betrouwbare identiteitsverificatie doet (wat een vereiste is voor EV), en je een verzekering biedt, kost dat gewoon geld. Advocaten en notarissen zijn ook hartstikke prijzig (daar zie ik niemand tegen demonstreren). Voor de sites waar ik EV-certs voor wil zien, zijn de kosten ervan peanuts.
emn13 schreef:
specialiseren die dit soort dingen goed analyzeren, zo vond ik bijv. deze anlyze uit 2018 door Troy Hunt
Troy doet prima werk, maar is geen autoriteit als het om certificaten gaat. Hetzelfde geldt voor Scott Helme; beiden heb ik hoog zitten maar ben het op dit punt totaal niet met hen eens. En met oplossingen op dit vlak komen zij niet.
emn13 schreef:
OCSP heeft, in principe,
helemaal niets met EV-certs te maken. Google en werknemer Adam Langley (ook iemand die ik respecteer, maar op punten van mening verschil) had/heeft een hekel aan OCSP en daarom
was dat eerder al geschrapt voor DV en OV certs in Chrome.
Je
hebt een betrouwbaar revocation-mechanisme nodig, mensen maken fouten (OCSP-stapling mag ook van mij, of andere methodes, als het maar betrouwbaar is). Een geldigheidsduur van certs tot 3 maanden inperken lijkt leuk, maar dat is véél te lang bij misbruik. Als jouw pinpas gestolen wordt, wil je deze ook zeer snel in kunnen trekken, zo mogelijk voordat jouw rekening leeggetrokken wordt.
Nb. bij misbruik na fouten bij de uitgifte van https servercertificaten (of lekken van de private key) gaat het niet om de rekening van de eigenaar van de website, maar van diens klanten.
Als de markt (vertegenwoordigd in het
CA/B-forum) zichzelf niet fatsoenlijk reguleert en/of onvoldoende voor de belangen van
eindgebruikers opkomt, terwijl (niet alleen) de overheid steeds verder digitaliseert, zal
de overheid regels moeten gaan opstellen en gaan handhaven. Anders loopt het helemaal uit de klauwen met fraude op internet.
:strip_exif()/i/2005532264.jpeg?f=imagegallery)
:strip_exif()/i/2003150524.png?f=thumbmedium)
/i/2004634846.png?f=fpa)
/i/2004636176.png?f=fpa)
/u/243953/crop56f55a7bcf291.png?f=community){kind=small}
:strip_exif()/u/121799/6d89df1809e5dffe256e3eddd2362554448.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/52587/crop637254f3d1860_cropped.png?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
- het gaat om het idee ))/u/28468/librarian2.png?f=community){kind=small}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/71115/plus222.jpg?f=community){kind=small}
/u/1550298/crop6748a33cc7aad.png?f=community){kind=small}
/u/63682/crop5de0dc242f46f_cropped.png?f=community){kind=small}
:strip_exif()/u/44074/avatar001.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/932885/crop593fa3c0a2262.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/35680/crop59a884759c1cb_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/793705/crop57de4b2cc3582_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/338281/Guust%2520Flater%2520intro.jpg?f=community){kind=small}
