IE7 krijgt sterkere HTTPS-beveiliging

Op MSDN's Internet Explorer Weblog is informatie verschenen omtrent nieuwe HTTPS-veiligheidsfeatures binnen Internet Explorer 7. Het HTTPS-protocol is een versleutelde versie van het HTTP-protocol en wordt voor bijvoorbeeld e-commercetransacties gebruikt. De meeste wijzigingen schroeven de standaardveiligheidsinstellingen van de browser omhoog en zijn in IE6 met de hand in te stellen.

Allereerst zal het standaardoverdrachtsprotocol dat in IE6 wordt gebruikt, SSLv2, in IE7 standaard worden uitgeschakeld; in plaats daarvan zal gebruik worden gemaakt van de krachtigere SSLv3- of TLSv1-protocollen, omdat er nog maar een klein aantal sites zou zijn dat SSLv2 gebruikt. Daarnaast komt er een aantal veranderingen voor de gebruiker in het geval er problemen met de veiligheidscertificaten van een site zijn. Waar de IE6-gebruiker nog om een keuze wordt gevraagd of de website voor de huidige en/of toekomstige sessies vertrouwd dient te worden, zou IE7 de toegang iedere keer blokkeren en de gebruiker waarschuwen. Hierbij is er weliswaar de mogelijkheid de onheilstekens te negeren, maar door de waarschuwingen heenklikken zou wel een prominent roodgekleurde adresbalk opleveren; daarnaast wordt alleen veilig geachte HTTPS-content op de betreffende pagina gerenderd. Via instellingswijzigingen is evenwel te bereiken dat eventueel aanwezige HTTP-content toch te zien is. Volgens Microsoft zijn dit soort wijzigingen in de standaardinstellingen belangrijk omdat weinig webdevelopers, laat staan gebruikers, de risico's zouden begrijpen van het binnen een HTTPS-pagina renderen van objecten die middels HTTP zijn afgeleverd.

Ook biedt IE7 ondersteuning voor een aantal nieuwe versleutelingsalgoritmes, waaronder de Advanced Encryption Standard, die sleutellengtes tot en met 256 bits aankan. Ten slotte is de TLS-implementatie verbeterd, waarbij een oud probleem met virtueel gehoste sites opgelost zou zijn. Door de extra veiligheidseisen van HTTPS moet een server zijn digitale certificaat afgeven voordat het de HTTP-headers van de browser ontvangt. Als er echter meerdere subdomeinen op hetzelfde IP-adres worden gehost kan het misgaan; de server heeft dan geen headers om te bepalen welke content er naar de browser moet. De nieuwe TLS-implementatie zorgt daarom dat de bedoelde hostnaam bekend is in de aanvankelijke handshake tussen client en server.

IE 7 ssl-features

Door Mick de Neeve

Feedback • 25-10-2005 15:40 51

25-10-2005 • 15:40

51

Bron: MSDN Blogs

Lees meer

Strenge eisen voor nieuwe ssl-certificaten
Strenge eisen voor nieuwe ssl-certificaten Nieuws van 27 december 2006
Microsoft brengt laatste bèta IE7 uit
Microsoft brengt laatste bèta IE7 uit Nieuws van 30 juni 2006
Hardwarematige encryptie van bestanden via usb-stick
Hardwarematige encryptie van bestanden via usb-stick Nieuws van 15 maart 2006
IE7 krijgt standaard XmlHttp-objectondersteuning
IE7 krijgt standaard XmlHttp-objectondersteuning Nieuws van 27 januari 2006
Internet Explorer 7 gaat RSS-icoon Firefox gebruiken
Internet Explorer 7 gaat RSS-icoon Firefox gebruiken Nieuws van 16 december 2005
Veiliger alternatief voor SSL-certificaten in de steigers
Veiliger alternatief voor SSL-certificaten in de steigers Nieuws van 12 december 2005
Vista laat elke gebruiker eigen browser kiezen
Vista laat elke gebruiker eigen browser kiezen Nieuws van 23 oktober 2005
Internet Explorer 7 aan hackers gepresenteerd
Internet Explorer 7 aan hackers gepresenteerd Nieuws van 30 september 2005
Microsoft brengt bètaversie Internet Explorer 7 uit
Microsoft brengt bètaversie Internet Explorer 7 uit Nieuws van 30 juli 2005
Meer producten en artikelen
Software

Reacties (51)

-Moderatie-faq
51
49
38
8
1
8
Wijzig sortering
Olaf van der Spek 25 oktober 2005 15:48
Ook biedt IE7 ondersteuning voor een aantal nieuwe versleutelingsalgoritmes,
In de bron hebben ze het over Vista. Ik hoop echter dat al deze features gewoon in IE7 komen en IE7 ook voor XP beschikbaar komt.
slotte is de TLS-implementatie verbeterd, waarbij een oud probleem met virtueel gehoste sites opgelost zou zijn.
Ik ben blij dat het eindelijk ondersteund wordt, maar het is wel erg jammer dat het zo lang heeft moeten duren.
iTec @Olaf van der Spek25 oktober 2005 15:50
Ik hoop het niet, ik hoop liever op dat het OPTIES worden om te installeren..

* 786562 iTec
Countess @iTec25 oktober 2005 17:42
jij en ik niet.
maar ik ben wel blij als de leek iets word opgedragen om te gebruiken voor zijn eigen veiligheid.
scheeld mij iniedergeval weer een hoop werk en maakt het internet weer een stukje veiliger.
Klaus_1250 @Olaf van der Spek25 oktober 2005 15:59
slotte is de TLS-implementatie verbeterd, waarbij een oud probleem met virtueel gehoste sites opgelost zou zijn
http://www.ietf.org/rfc/rfc2817.txt (of http://www.faqs.org/rfcs/rfc3546.html ?) Alleen moet de webserver dat dan ook wel weer ondersteunen...

Hoe zit het eigenlijk met TLS 1.1?
Olaf van der Spek @Klaus_125025 oktober 2005 16:00
Helaas is 2817 protocol specifiek.
3546 is wel goed.
Anoniem: 44917 25 oktober 2005 17:27
Ik hoop wel dat de mogelijkheid blijft bestaan om self-signed certificaten permanent te accepteren, anders komen een hoop hobby-projecten en anderen met een kleine beurs toch wel in de problemen.
* 786562 fremar
Tukk 25 oktober 2005 15:45
Mijn webmail is https (https://webmail.xs4all.nl)
Als ik nu daar een HTML-mail bekijk is de content(de plaatjes) vaak gehost bij de verstuurder van de info-mail.

Wat is er gevaarlijk aan deze situatie, althans zo gevaarlijk dat ik gewaarschuwd zou moeten worden door een grote rode balk? :?
HaterFrame @Tukk25 oktober 2005 15:49
Ze kunnen statisieken van die plaatjes halen en evt achter bepaalde gegevens komen als jij je pc niet beveiligt hebt aangezien je toch verbinding moet maken met een server waar die plaatjes gehost staan.
The Noid @HaterFrame25 oktober 2005 16:01
De spammers weten vervolgens dat jouw email adres werkt en gelezen wordt. Kunnen ze meer geld vragen bij het verkopen van je email adres. :)
Niet echt een beveiligings probleem, maar toch.

Bij communicatie naar hetzelfde domijn gaan dezelfde cookies over de http verbinding als over de https verbinding en zou dus je sessie-key onderschept kunnen worden.
Olaf van der Spek @The Noid25 oktober 2005 16:16
Bij communicatie naar hetzelfde domijn gaan dezelfde cookies over de http verbinding als over de https verbinding en zou dus je sessie-key onderschept kunnen worden.
Daar heb je secure cookies voor.
Anoniem: 66422 @The Noid27 oktober 2005 14:49
Dit is helemaal niet waar MS (en manicmind waarschijnlijk ook niet) het over heeft als ze het probleem beschrijven. Dat probleem is er namelijk net zo hard bij 2 HTTP verbindingen (HTML-mail + de webmail interface). het gaat erom dat allerlei (cross-site)scripting uitgevoerd kan worden en gegevens uitgelezen kunnen worden over je sessie. Spammerts zijn bijzaak.

Dit is dus een voorbeeld van de webdevelopers en gebruikers die het veiligheidsrisico niet goed inschatten
F_J_K Forummoderator @Tukk25 oktober 2005 15:52
Het weergeven van plaatjes in mails vind ik inderdaad een hele goede. Een van de standaardmethoden van spammers om te achterhalen of je hun zooi leest, is het plaatsen van unieke ID's in dat soort plaatjes.

Dus standaard uitgeschakeld: graag.

Natuurlijk valt het met mail op zich wel mee, omdat je mails hoe dan ook niet zo kan vertrouwen en is de versleuteling daar puur voor de privacy, maar toch. En ook vwb privacy is het goed om een rode balk te krijgen, dan weet je meteen dat %vriendin% of %baas% kan meekijken ondanks de HTTPS.
Olaf van der Spek @Tukk25 oktober 2005 15:51
Wat is er gevaarlijk aan deze situatie, althans zo gevaarlijk dat ik gewaarschuwd zou moeten worden door een grote rode balk?
Voor plaatjes is het waarschijnlijk geen probleem maar voor scripts (ads) bijvoorbeeld wel.
Anoniem: 156329 @Olaf van der Spek25 oktober 2005 15:59
Voor plaatjes is het wel een probleem, vaak staat er als bron van het plaatje iets van:
www.reclame.com/feclame.php?from=<a href=\"mailto:een@mail.adres\">een@mail.adres</a>
En zo kunnen ze achterhalen wie hun mail leest.
Olaf van der Spek @Anoniem: 15632925 oktober 2005 16:01
Dat heeft niks met http/https te maken. Dat is een issue van je mail reader.
Anoniem: 63628 @Anoniem: 15632925 oktober 2005 19:17
Ja, en het gaat er hier om dat het webmail is. Dus waardoor zal je mailtje gerenderd worden?
Olaf van der Spek @Anoniem: 15632926 oktober 2005 10:17
Dus waardoor zal je mailtje gerenderd worden?
Hopelijk door een mail reader die slim genoeg is om img tags te veranderen in a tags. Het blijft de taak van de mail reader, niet van de browser om dat te doen.
addictive @Tukk25 oktober 2005 16:00
wanneer iemand een script laadt, deze de header van een image meegeeft, en in het script weer linkt naar een andere image, dan zie jij dus de image die je moet zien, maar het script zie jij niet. En het wordt wél uitgevoerd. En dat kan dus zeker gevaarlijk zijn.
Little Penguin 25 oktober 2005 20:07
Hoewel alle verbetering aan Internet Explorer natuurlijk welkom zijn (en dan met name die verbeteringen die het leven van web-developers gemakkelijker maakt) vraag ik me af waarom dat dit zo'n prominent nieuws-item waard is.

Volgens mij ondersteund Firefox namelijk al enige tijd 256 bit SSL certificaten...
Annie @Little Penguin25 oktober 2005 21:26
Ik kan je redenatie niet echt volgen. Nieuws heeft niet altijd te maken met wie het eerste iets ondersteund.
solatis @Annie25 oktober 2005 21:50
Nee precies, bovendien, als er in Internet Explorer security-features geimplementeerd worden dan is dit toch echt nieuws waard :)
kidde @Annie25 oktober 2005 22:53
Nieuws heeft echter wel te maken met verwachtingspatronen.

Je verwacht toch als je > E 80 voor een besturingssysteem lapt, dat je niet meer word afgescheept met de beveiligingststandaarden van gisteren?

Je verwacht van een bedrijf dat $1 miljard aan R&D besteed, dat er af en toe wat nuttigs uitkomt op het gebied van veiligheid?

Net zoals je verwacht dat morgen de zon opkomt, waar meestal maar 2 lullige regeltjes aan gewijd worden in heel de krant (op/ondergang).

In plaats daarvan is het 'nieuws' dat eindelijk de nieuwste bestaande veiligheidsstandaarden geïmplementeerd worden, en dat onder druk van een concurrent.

En blijkbaar is het geen nieuws, als er niks fatsoenlijks met die $1 miljard R&D gebeurd (ter vergelijking: hetzelfde bedrag als Philips besteed) die de kopers van Windows opgehoest hebben, voor dat geld worden alleen een beetje anderen nageaapt, die veel security-dingetjes het als eerste geïmplementeerd hadden, waardoor 10% marktaandeel verloren werd aan een gratis webbladerprogramma.

En kom nou aub niet aanzetten met al die 'leipe' projecten die MS allemaal financiëert, want die onderzoeken zijn leuk, maar leven in de praktijk bitter weinig op.
xbassiex @Little Penguin25 oktober 2005 21:36
Precies. Dit is niet echt schokkend bijzonder nieuws. Ik kan bij mij Firefox instellingen gewoon SSL 1.0, 2.0 èn 3.0 aanvinken. Microsoft heeft me nog steeds niet overtuigt met IE (vs. Firefox) :Y)
Anoniem: 100910 @Little Penguin25 oktober 2005 22:10
Firefox ondersteund de AES (256-bits) standaard nog niet.
Xenan @Anoniem: 10091026 oktober 2005 10:09
Echt wel. Probeer maar eens uit. :)
Ik was zelf verrast te zien dat op mijn eigen site "als vanzelf" 256 AES encryptie had met FireFox, en 128 bit encryptie met IE6. De website was Apache met SSL erin gecompileerd.
Anoniem: 55563 25 oktober 2005 16:09
In Firefox heb ik een tijdje SSLv2 uitgeschakeld maar ik kwam toch nog een aantal sites tegen die deze versie nodig hadden. Slecht natuurlijk. Hopelijk zorgt de introductie van IE7 ervoor dat webmasters zich gedwongen voelen om over te schakelen op betere beveiliging. Veel sites gebruiken ook nog maximaal 128bit versleuteling terwijl 256bit (AES) allang bestaat. IE6 ondersteunt het echter niet dus voelen de meeste webmasters zich niet geroepen het te installeren.

@Luuk: Een webmaster die zo denkt, neemt beveiliging niet serieus. Daarbij, als het je beroep is dan is het toch een kleine moeite om AES te implementeren? Je hoeft geeneens rekening te houden met sitebezoekers zolang de oudere beveiligingsmethoden beschibaar blijven. Als ik echter creditcardgegevens of andere gevoelige informatie verzend dan kijk ik altijd even of er 256bit AES wordt gebruikt. Voelt wel zo prettig :).
Luuk1983 @Anoniem: 5556325 oktober 2005 16:12
Tja, je kan natuurlijk niet verwachten dat elke keer als er een nieuwe standaard uitkomt alle bestaande sites switchen.

Het kan me voorstellen dat je nieuwe sites uiteraard volgens de dan geldende standaarden bouwt, maar om de site daarna te BLIJVEN updaten gaat ook wel ver. Tenzij het natuurlijk een zeer belangrijke site is, maar ja dan wordt die site sowieso al vaak geupdate waarschijnlijk :)
Olaf van der Spek @Luuk198325 oktober 2005 16:18
De web server software moet je zoiezo up to date houden. TLS support zit er dan in principe standaard in.
RickN 25 oktober 2005 16:46
Ik denk dat veel mensen zouden schrikken als ze zien hoe makkelijk het is om een man-in-the-middle attack uit te voeren op https verkeer als de attacker toegang heeft tot je netwerk.

Bovendien denk ik dat veel mensen zouden schrikken als ze zien hoe makkelijk het is toegang te krijgen tot iemands draadloze netwerk zolang 9/10 netwerken nog met WEP worden versleuteld.

Een dagje zoeken met google, wat tutorials lezen, tools downloaden en je leest de gmail van je buurman, of erger....

Meer prominente waarschuwingen als het certificaat van de site die je bezoekt niet in orde is, zijn dus zeker wel zéér welkom!
Olaf van der Spek @RickN25 oktober 2005 17:38
Meer prominente waarschuwingen als het certificaat van de site die je bezoekt niet in orde is, zijn dus zeker wel zéér welkom!
Het handmatig moeten installeren van een certificaat lijkt mij wel een goede optie. En dan natuurlijk niet meer simpel met een enkele Ja een niet-geinstalleerd certificaat kunnen accepteren.
Hieronymus 25 oktober 2005 15:46
De meeste wijzigingen schroeven de vstandaardveiligheidsinstellingen van de browser omhoog en zijn in IE6 met de hand in te stellen.

beteknt dat ook dat de beperkingen hoger worden in ie7?in ie6 ervaar ik dat wel met hogere security :?
brompot758 25 oktober 2005 16:16
waaronder de Advanced Encryption Standard, die sleutellengtes tot en met 256 bits aankan

De door M$ gehanteerde implementatie kan misschien maximaal AES-256 aan, maar AES-512 en zelfs AES-1024 zijn gewoon mogelijk met de standaard.

Met de huidige stand van de techniek is AES-256 overigens wel de hoogst praktisch haalbare. Anders overlaad je met name de CPU van de webserver te snel.

ALs je trouwens nu al behoefte hebt aan AES-256: Apache met Firefox als browser gebruikt dit al standaard.
casdebie 26 oktober 2005 09:17
Was SSL 2 niet de versie welke niet goed geimplementeerd is en daardoor veel beveiligings issues met zich meebracht?

Daarbij in IE 6 kan men toch ook vinken voor SSL2, SSL3 en TLS1

Goed dat de certificaten nu beter in beeld komen voor de gebruiken. Kijk ik begrijp dat de mainstream internetgebruiker geirriteerd is als deze om de 5 minuten een certificaat moet accepteren maar deze gebruikers moeten zich eigenlijk ook realiseren waarom dat zo is. Ik durf te wedden dat nog niet de helft van alle online banking gebruikers een idee heeft dat hun verbinding wordt versleuteld en daardoor de gestuurde gegevens naar de bank veilig zijn. De gebruiker is daarbij vaak al helemaal niet op de hoogte dat het zwaartepunt van deze techniek ligt bij de certificaten (en het accepteren daarvan).

Je moet voor de gein is kijken naar de 10 meestgebruikte FTP clients. Als deze een beveiligde verbinding opzetten vraag 2 op de 10 clients of een bepaald certificaar geaccepteerd moet worden. Anderen accepteren automatisch het certificaat, zelfs wanneer deze niet met zekerheid secure is (zoals self signed certificaten
Anoniem: 149210 25 oktober 2005 15:51
Aan de eene kant is goed dat er zoveel features erin worden gebakken helaas zijn er aantal dingen die minder zijn. Nu gaat Microsoft bijna al bepalen welke sites je wel en niet mag bezoeken en als je daarvan af wilt komen moet je weer heel veel tweaken aan IE. Ik ben benieuwd of het wel echt zin heeft om de gebruiker zo erg te beschermen door dingen uit te schakelen. Als je een domme gebruiker bent (en daar zijn er heel veel van)die overal maar domweg op klikt kan het voorkomen dat je alsnog op sites met virussen en al dat soort ongein komt. Hier zet ik dus erg mijn vraagtekens erbij

Edit: @Luuk 1983
Vandaar dat ik van mening ben dat ze gebruikers ermeer op moeten wijzen op wat voor soort sites ze gerus kunnen surfen en welke soort niet. Het is handig dat er zoveel veiligheid is, maar uiteindelijk ligt het toch aan de gebruiker en daarop moeten ze het aanpakken. Ik heb nog nooit een virus gehad die echt erge dingen deed om me computer (eigenlijk zoiezo geen virussen hoogstens spyware) en hoe komt dat? Gewoon door mijn gebruik.
Luuk1983 @Anoniem: 14921025 oktober 2005 16:10
Daarom is het denk ik zaak om standaard de boel een stuk dichter te spijkeren dan nu het geval is. Maar de grens is nogal dun tussen veriligheid en gebruikers(on)gemak. Een domme gebruiker moet beschermd worden tegen zichtzelf, maar tegelijkertijd moet alles voldoende werken zonder dat de gebruiker geïriteerd wordt.

Kortom: Microsoft probeerd het beste compromis te vinden, maar uiteindelijk is het toch de gebruiker die de veiligheid bepaald.
TheZoo @Luuk198326 oktober 2005 09:42
Als jij vindt, dat het de taak is van MS om de gebruiker tegen zichzelf te beschermen, moeten de autofabrikanten dat ook niet maar gaan doen?
Anoniem: 135962 @TheZoo26 oktober 2005 09:50
Volgens mij nemen de meeste autofabrikanten (behalve die chinese suv) ook zeer veel veiligheidsmaatregelen, zoals een kooiconstructie, airbags foefjes met elektronische sleutels om diefstla te voorkomen etc.

Maar ik snap niet dat iemand nu op de conclusie komt dat IE7 gaat bepalen welke sites je wel mag zien en welke niet. Het enigste wat het gebruik TLS in IE7 vraagt is een deugdelijk certifcaat en daar kun je zelf wel voor zorgen.

By the way, wordt het certifcaat verders ook nog gechecked, zo heb ik bij mn eigen ssl-verbinding maar eigen certificaat (zonder root-certificate) aangemaakt... is dat zometeen ook nog mogelijk?
kreator @Anoniem: 15632925 oktober 2005 16:04
Hoe kun je dat nu dan alweer weten, terwijl het product notabene nog niet eens af is?!? Beetje voorbarige conclusie.
Room42 @Anoniem: 15632925 oktober 2005 16:07
OMG Kerel, haal het imago van Firefox gebruikers toch niet zo omlaag met een irritant domme off-topic reply als dat :r
Ieder zijn eigen browser, he... Ik gebruik ook Firefox, maar als iemand liever Opera of Netscape gebruikt moet hij dat toch zelf weten!
Anoniem: 149210 @Anoniem: 15632925 oktober 2005 16:08
Ik gebruik ook Firefox.

En hoe kan je zo zeker al weten dat Firefox per defenitie beter is. Misschien zijn er andere functies van IE7 die het toch weer beter maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq