Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Bron: TechWeb

Nadat eerder al aangekondigd werd dat Microsoft zijn krachten in het gevecht tegen phishing versterkt had, blijkt nu dat ontwikkelaars van alle grote browsers samen aan tafel zijn gaan zitten om te bespreken wat men kon doen om gebruikers veiliger op het internet te kunnen laten surfen. Verantwoordelijken voor Internet Explorer, Firefox, Opera en Konqueror overlegden vorige week in Toronto over identificatiemogelijkheden voor betrouwbare en verdachte websites. George Staikos, opensourceontwikkelaar voor KDE's grafische omgeving waar ook de Konqueror-browser zijn thuishaven heeft, stelt echter dat dit gesprek pas het begin is en dat er nog een lange weg te gaan is. Rob Franco van het IE-team deelde zijn ervaringen mee op het officiŽle Internet Explorer-weblog, waarbij de antiphisingwerkbalk uit Internet Explorer 7 gebruikt wordt om enkele maatregelen te illustreren.

Browserlogo'sEen van de ideeŽn die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt, waardoor het voor fraudeurs moeilijker wordt het echte adres van een pop-up met bijvoorbeeld een invulformulier te verbergen. Ook het tonen van een pop-up die eruit ziet als een standaard Windows-alert wordt hierdoor bemoeilijkt, wat de veiligheid van gebruikers ten goede moet komen. Staikos gaf overigens, net zoals Frank Hecker van het Mozilla-project, aan dat het niet zeker is of alle veranderingen wel effectief doorgevoerd worden in de opensourcebrowsers, omdat er niet ťťn verantwoordelijke is die bepaalt wat wel of niet ontwikkeld wordt. Desondanks achten beiden de kans zeer groot dat de ontwikkelaars de opmerkingen zullen meenemen in toekomstige versies van de software.

Moderatie-faq Wijzig weergave

Reacties (39)

Het verhaal vanaf de KDE kant (geschreven door George Staikos) kan hier gelezen worden.

edit: Ik zie nu dat ook Opera en Mozilla hun visie op de bijeenkomst gepost hebben.
nee hoor. Dat is gewoon een linkje naar het officiele IE blog ;).
Altijd een URL balk tonen heeft op dit moment wel zin, want geen enkele browser is in staat om popups tegen te houden. Het is toch gewoon van de gekke...

Maar zelf wil ik wel dat die optie uitgeschakeld wordt, want ik heb een hekel aan overige dingen :)

Voor de rest is het natuurlijk heel goed dat hier met de grote browsermakers over gesproken wordt. Een stukje toekomst van internet.
Ken jij dan Opera wel?
Die blokkeert toch echt de popups.
En dat doen ze nu al jaren....
dat kan wel zijn, maar als jij op een link klikt dan zien Opera dat niet meer als popup.. en zo kan je alsnog een phishing site openen.
nee hoor, met opera kan je altijd het adress zien.
zoals de popup waar ik nu in zit te typen, die staat netjes geregistreerd bij de tabs.
dus als ik deze popup niet vertrouw, dan kan ik met een klik het adres opvragen.
Weinig zinvol...op het moment dat alle popups een adresbalk krijgen wordt het wel weer opgelost met een layer die het uiterlijk krijgt van een browser window... zo zijn overigens ook de windows alerts beter na te bootsen dan met een echt window.
"...zodat elk browservenster een adresbalk krijgt..."
Heeft Opera al een tijdje; extra balkje boven in window zodat je addressbar kunt openen. Niks nieuws :7
Volgens mij is Opera niet "elke browser", dus wel dergelijk nieuws. Juist het feit dat niet elke browser zijn eigen weg kiest maar men dit soort zaken gezamelijk bespreekt is een grote stap vooruit.
wat ik in de reacties nog niet zie, is:

de browsermakers hebben straks dus mogelijk 1 standaard; als ik actief zou zijn op het gebied van phising zou ik in mijn handjes klappen, want dan hoefde ik nog maar 1 type beveiliging te omzeilen, en het zou vrij snel werken in alle browsers... |:(
Het gaat over standaard in uiterlijk. Niet over dhoe het van binnen werkt...volgens mij dan.
Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.

Een paar jaar terug kreeg ik deze link: http://www.microsoft.com&item%3Dq209354@212.254.206.213/1338825GHU_98.asp

Deze link is nu down, maar je kreeg een bijna echt Microsoft-nieuwsitem (compleet met huisstijl en al) waarin stond uitgelegd dat Microsoft zojuist Red Hat had gekocht. Je ziet www.microsoft.com staan, en denkt dus dat het echt is.

Maar iets verder staat een @ gevolgd door een ip-adres... Alles voor de @ (hier toevallig iets met 'www.microsoft.com' erin) wordt als username doorgegeven aan de server na de @, in dit geval het ip-adres van een server die niets met MS van doen had.

Dit was maar een grapje, maar je kunt ook een webpagina als "http://www.abnamro.nl/bla/1jkdslf7485@123.12.45.12/bla/bla/pagina-om-creditcard-gegevens-te-ontfutselen.asp" maken.

Mijn moeder zou erin trappen.
dat soort links moeten optelossen zijn door dat gewoon niet te accepteren (dus dat alles na @ weglaat wanneer er ervoor een http:// adres staat?

en ik kan niet meer met ftp://server@user:wachtwoord inloggen..
dat is volgens mij dus al weggehaald
Dat zou best kunnen dat 't niet werkt, het is namelijk: ftp://user:wachtwoord@server :P

In andere browsers dan IE werkt dat gewoon.
(Firefox/Netscape gaat meteen door; Opera vraagt eerst of je dat adres wil openen)
Dat kan in IE ook hoor. Het grootste verschil is dat ik in IE en konqueror een grafische FTP krijg (met drag & drop) en bij FF niet.
Firefox geeft ook zo'n vraag. Misschien trouwens alleen bij links of alleen bij HTTP (ooit gehoord van FTP spoofing?? :9), dat weet ik eigenlijk niet.
Firefox geeft dan een vraag of dit de bedoeling is. Ook bij bv. z@ppelin.nl wat op hetzelfde principe berust (site ppelin.nl, username z)

Overigens is het username:password@server, niet server@username:password.
Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.
Dat is al niet meer mogelijk in IE.
Een adresbalk tonen zal weinig of niets helpen. De meeste mensen die in phishing en/of spyware trappen zien ook niet het adres in de adresbalk.

Ik weet wel een andere oplossing die ze aan het besturingssysteem zouden moeten koppelen:

Wanneer de gebruiker niet als admin is ingelogd is het onmogelijk om willekeurig welke pop-up te openen in de browser, tenzij de gebruiker zelf op een link klikt. Vervolgens wordt de rand en titelbalk van de pop-up rood gekleurd, knippert twee keer en laat bijv. het windows security logo zien en de titelbalk bevat een korte tekst als "Pop-ups kunnen nep info bevatten" o.i.d..

Ook wordt bij deze clients de functionaliteit dat je in een mail kun klikken op een adres uitgeschakeld. Ze moeten dan altijd het adres zelf intypen.

Volgens mij is dit een goede start.
Laat nou net het merendeel van alle windows gebruikers gewoon onder admin draaien zonder er verstand van te hebben. (en een deel van de linux users ook onder root ongetwijfelt.)

Het idee met de waarschuwing kan goed ingebouwd worden. Maar dan nog moet de gebruiker zelf beoordelen of het veilig is. Postbank zegt bijvoorbeeld hoe de url eruit moet zien. Maar als een phishing die tekst nou ook aanpast? Sommige gebruikers lezen er overheen want die onthouden niet elke keer die url, veel te moeilijk als je maar een keer per week achter internet zit.

Domme mensen hou je altijd. Die reageren op een buitenlander die 30000 euro beloofd maar dan moet je eerst 1000 euro overmaken op hun account en andere van dat soort oplichtingen. Phishing kun je voor die mensen niet oplossen. Met geen enkele maatregel.
Het admin/client probleem zou in Vista goed komen en daar hoop ik ook nog steeds op. Windows XP als client komt erop neer dat installeren al bijna niet kan en veel programma's draaien niet eens onder client.

De waarschuwing is ook niet meer dan dat. Misschien zaait het wel het eerste zaadje naar bekendheid van phishing onder htk (huis, tuin...) gebruikers. Zeker als het nog een paar keer rood knippert dan letten ze misschien wel iets beter op.

Ik blijf hoop houden, ondanks dat de moed mij vaak in de schoenen zakt. :)
Een van de ideeŽn die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt
dit zou betekenen dat wanneer je een help popup hebt (waarin iets wordt uitgelegd zoals een functie van iets) dat je altijd een superlelijke adres balk hebt?
de help popups moeten imho geheel kale windows zijn

maar ik kan ook wel begrijpen waarom ze het willen doen...
Misschien kunnen ze het in de statusbalk proppen.

Maar dan moet je hem wel tijdelijk rood laten knipperen ofzo, zodat mensen erop letten.
de help popups moeten imho geheel kale windows zijn
Waar heb je uberhaupt popups voor nodig?
De help pagina openen in een nieuwe tab lijkt me veel beter.
Dat niemand ooit op het idee is gekomen om gewoon een popup venster internet explorer of firefox na te bouwen.
je kunt de meeste functies gewoon via script aanroepen en een adresbalk is ook zo nagebouwd. Laat deze de gegevens via een cgi-proxy ophalen en het lijkt net alsof je te maken hebt met een echte browser.
cia css is het dan eenvoudig om de adresbalk een groene kleur te geven.

Nu internet steeds sneller wordt merk je haast niets van het laden van de images.

het beste is gewoon om gebruikers te dwingen te controleren of het certivicaat juist is. dit is moeilijker voor een doorsnee gebruiker maar gerandeerd wel de meeste zekerheid.

(natuurlijk blijf je altijd de man in de middle probleem houden.)
Je moet juist niet de gebruiker dat soort veiligheids-beslissingen laten maken. Je ziet dat dat al jaren fout gaat. "JA ik wil Bonzi-buddy installeren" "JA ik wil coolwebsearch installeren" Waarom? Omdat ze dan een leuke screensaver krijgen, of omdat ze denken dat ze op de juiste site zitten.
De geavanceerde gebruiker weet dat hij geen beveiligings certificaat popup hoort te krijgen als hij naar de site van zijn bank gaat, de 'normale' gebruiker ziet een popup, en klikt op JA omdat hij naar de site van de bank wil en die popup zit in de weg.
Anti-phising maatregelen, en wat komt er uit de bus: bij elke popup de adresbalk tonen... Ja, dat zal helpen! Nu zullen alle criminelen wel afgeschrikt zijn, want elk venster heeft z'n adresbalk! (die je via hostfiles naar gelijk welk ip kan laten verwijzen, die je kan trukeren (zoals hierboven vermeld), maar dit terzijde). Dit is een maatregel die eigenlijk geen maatregel is.
zal hij toch echt eerst je hostfile moeten kunnen aanpassen :z

nee ik vind het wel een goed idee. Op deze manier (ongeacht of het url juist is of niet) kan je een browser venster gemakkelijk van een echt windows dialoogvester onderscheiden. (wat voor een huis tuin en keuken gebruiker echt noodzakelijk is).
Ik vind die adres balk wel een heel slecht idee. Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.

Ik ben blij met het initiatief maar niet van de mogelijke oplossingen ervoor.
Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.
Zogenaamde 'webapplicaties' die zelfstandig popups openen? :X

Wat is er gebeurd met de normale websites waarbij de gebruiker zelf kan kiezen of hij de link in een nieuw scherm wil openen?

Dat hele gedoe met webapplicaties is volledig overhyped, imo.

Houdt het simpel. Laat het initiatief voor het openen van een nieuw scherm bij de gebruiker liggen.
het probleem is dat jij en ik vaak wel weten welke popup we kunnen verwachten en wat we er mee moeten doen... de standaard huis-tuin-en-keuken-gebruiker die de aan-en-uitschakelaar van een computer kan vinden en dat al knap vind heeft geen idee hoe en wat die er mee aan moet...

als je dus de keuze aan de gebruiker laat raakt de helft van de internettende mensen in paniek als ze ineens iets kwijt zijn of niet meer weten wat ze moeten doen...

Helaas is dit ook de groep die geen idee heeft wat ze aan moeten met een balkje met allerlei letters erin die wij kennen als adresbalk...
Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.

Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.

Voor het verplicht tonen van de adresbalk lijkt het mij dat net zoals met het blokkeren van popups nu in firefox je gewoon zou kunnen kiezen dat een bepaalde site wel het recht heeft om de adresbalk te verwijderen.
Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.
En dat is dus niet de beste oplossing.
Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.
Waarom voeg je die informatie niet gewoon toe aan het formulier zelf?
Beetje brakke redenering volgens mij. Dan wordt je popup venstertje gewoon een regel hoger om die adresbalk erin te proppen, da's toch niet zo moeilijk?
Overigens mogen wat mij betreft websites die voor wat voor reden dan ook, popups gebruiken, meteen al van het web af. Tenzij Firefox die popups in een tab kan zetten, natuurlijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True