Browsermakers bespreken antiphishingmaatregelen

Nadat eerder al aangekondigd werd dat Microsoft zijn krachten in het gevecht tegen phishing versterkt had, blijkt nu dat ontwikkelaars van alle grote browsers samen aan tafel zijn gaan zitten om te bespreken wat men kon doen om gebruikers veiliger op het internet te kunnen laten surfen. Verantwoordelijken voor Internet Explorer, Firefox, Opera en Konqueror overlegden vorige week in Toronto over identificatiemogelijkheden voor betrouwbare en verdachte websites. George Staikos, opensourceontwikkelaar voor KDE's grafische omgeving waar ook de Konqueror-browser zijn thuishaven heeft, stelt echter dat dit gesprek pas het begin is en dat er nog een lange weg te gaan is. Rob Franco van het IE-team deelde zijn ervaringen mee op het officiële Internet Explorer-weblog, waarbij de antiphisingwerkbalk uit Internet Explorer 7 gebruikt wordt om enkele maatregelen te illustreren.

Browserlogo's Een van de ideeën die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt, waardoor het voor fraudeurs moeilijker wordt het echte adres van een pop-up met bijvoorbeeld een invulformulier te verbergen. Ook het tonen van een pop-up die eruit ziet als een standaard Windows-alert wordt hierdoor bemoeilijkt, wat de veiligheid van gebruikers ten goede moet komen. Staikos gaf overigens, net zoals Frank Hecker van het Mozilla-project, aan dat het niet zeker is of alle veranderingen wel effectief doorgevoerd worden in de opensourcebrowsers, omdat er niet één verantwoordelijke is die bepaalt wat wel of niet ontwikkeld wordt. Desondanks achten beiden de kans zeer groot dat de ontwikkelaars de opmerkingen zullen meenemen in toekomstige versies van de software.

Reacties (39)

ATS 24 november 2005 10:26

Het verhaal vanaf de KDE kant (geschreven door George Staikos) kan hier gelezen worden.

edit: Ik zie nu dat ook Opera en Mozilla hun visie op de bijeenkomst gepost hebben.

Wolfensteijn @Firefly III • 24 november 2005 10:45

nee hoor. Dat is gewoon een linkje naar het officiele IE blog

KoalaBear84 24 november 2005 10:32

Altijd een URL balk tonen heeft op dit moment wel zin, want geen enkele browser is in staat om popups tegen te houden. Het is toch gewoon van de gekke...

Maar zelf wil ik wel dat die optie uitgeschakeld wordt, want ik heb een hekel aan overige dingen

Voor de rest is het natuurlijk heel goed dat hier met de grote browsermakers over gesproken wordt. Een stukje toekomst van internet.

Quacka @KoalaBear84 • 24 november 2005 10:46

Ken jij dan Opera wel?
Die blokkeert toch echt de popups.
En dat doen ze nu al jaren....

RuudBurger @Quacka • 24 november 2005 11:38

dat kan wel zijn, maar als jij op een link klikt dan zien Opera dat niet meer als popup.. en zo kan je alsnog een phishing site openen.

Madcat @RuudBurger • 24 november 2005 12:25

nee hoor, met opera kan je altijd het adress zien.
zoals de popup waar ik nu in zit te typen, die staat netjes geregistreerd bij de tabs.
dus als ik deze popup niet vertrouw, dan kan ik met een klik het adres opvragen.

mxcreep @KoalaBear84 • 25 november 2005 09:37

Weinig zinvol...op het moment dat alle popups een adresbalk krijgen wordt het wel weer opgelost met een layer die het uiterlijk krijgt van een browser window... zo zijn overigens ook de windows alerts beter na te bootsen dan met een echt window.

Clairvoyant 24 november 2005 10:33

"...zodat elk browservenster een adresbalk krijgt..."
Heeft Opera al een tijdje; extra balkje boven in window zodat je addressbar kunt openen. Niks nieuws

Anoniem: 61096 @Clairvoyant • 24 november 2005 14:12

Volgens mij is Opera niet "elke browser", dus wel dergelijk nieuws. Juist het feit dat niet elke browser zijn eigen weg kiest maar men dit soort zaken gezamelijk bespreekt is een grote stap vooruit.

increddibelly 24 november 2005 13:39

wat ik in de reacties nog niet zie, is:

de browsermakers hebben straks dus mogelijk 1 standaard; als ik actief zou zijn op het gebied van phising zou ik in mijn handjes klappen, want dan hoefde ik nog maar 1 type beveiliging te omzeilen, en het zou vrij snel werken in alle browsers...

BartOtten @increddibelly • 24 november 2005 18:29

Het gaat over standaard in uiterlijk. Niet over dhoe het van binnen werkt...volgens mij dan.

Anoniem: 19339 24 november 2005 10:44

Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.

Een paar jaar terug kreeg ik deze link: http://www.microsoft.com&item%3Dq209354@212.254.206.213/1338825GHU_98.asp

Deze link is nu down, maar je kreeg een bijna echt Microsoft-nieuwsitem (compleet met huisstijl en al) waarin stond uitgelegd dat Microsoft zojuist Red Hat had gekocht. Je ziet www.microsoft.com staan, en denkt dus dat het echt is.

Maar iets verder staat een @ gevolgd door een ip-adres... Alles voor de @ (hier toevallig iets met 'www.microsoft.com' erin) wordt als username doorgegeven aan de server na de @, in dit geval het ip-adres van een server die niets met MS van doen had.

Dit was maar een grapje, maar je kunt ook een webpagina als "http://www.abnamro.nl/bla/1jkdslf7485@123.12.45.12/bla/bla/pagina-om-creditcard-gegevens-te-ontfutselen.asp" maken.

Mijn moeder zou erin trappen.

mschol @Anoniem: 19339 • 24 november 2005 11:03

dat soort links moeten optelossen zijn door dat gewoon niet te accepteren (dus dat alles na @ weglaat wanneer er ervoor een http:// adres staat?

en ik kan niet meer met ftp://server@user:wachtwoord inloggen..
dat is volgens mij dus al weggehaald

aaiding @mschol • 24 november 2005 11:12

Dat zou best kunnen dat 't niet werkt, het is namelijk: ftp://user:wachtwoord@server

In andere browsers dan IE werkt dat gewoon.
(Firefox/Netscape gaat meteen door; Opera vraagt eerst of je dat adres wil openen)

rtgo @aaiding • 24 november 2005 11:48

Dat kan in IE ook hoor. Het grootste verschil is dat ik in IE en konqueror een grafische FTP krijg (met drag & drop) en bij FF niet.

praseodymium @aaiding • 24 november 2005 14:34

Firefox geeft ook zo'n vraag. Misschien trouwens alleen bij links of alleen bij HTTP (ooit gehoord van FTP spoofing??

), dat weet ik eigenlijk niet.

praseodymium @Anoniem: 19339 • 24 november 2005 11:15

Firefox geeft dan een vraag of dit de bedoeling is. Ook bij bv. z@ppelin.nl wat op hetzelfde principe berust (site ppelin.nl, username z)

Overigens is het username:password@server, niet server@username:password.

Olaf van der Spek @Anoniem: 19339 • 24 november 2005 12:51

Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.

Dat is al niet meer mogelijk in IE.

mschol 24 november 2005 10:34

Een van de ideeën die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt

dit zou betekenen dat wanneer je een help popup hebt (waarin iets wordt uitgelegd zoals een functie van iets) dat je altijd een superlelijke adres balk hebt?
de help popups moeten imho geheel kale windows zijn

maar ik kan ook wel begrijpen waarom ze het willen doen...

psyBSD @mschol • 24 november 2005 10:43

Misschien kunnen ze het in de statusbalk proppen.

Maar dan moet je hem wel tijdelijk rood laten knipperen ofzo, zodat mensen erop letten.

Olaf van der Spek @mschol • 24 november 2005 12:50

de help popups moeten imho geheel kale windows zijn

Waar heb je uberhaupt popups voor nodig?
De help pagina openen in een nieuwe tab lijkt me veel beter.

Anoniem: 14124 24 november 2005 10:45

Ik vind die adres balk wel een heel slecht idee. Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.

Ik ben blij met het initiatief maar niet van de mogelijke oplossingen ervoor.

edie @Anoniem: 14124 • 24 november 2005 10:57

Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.

Zogenaamde 'webapplicaties' die zelfstandig popups openen?

Wat is er gebeurd met de normale websites waarbij de gebruiker zelf kan kiezen of hij de link in een nieuw scherm wil openen?

Dat hele gedoe met webapplicaties is volledig overhyped, imo.

Houdt het simpel. Laat het initiatief voor het openen van een nieuw scherm bij de gebruiker liggen.

jarnog @edie • 24 november 2005 11:00

het probleem is dat jij en ik vaak wel weten welke popup we kunnen verwachten en wat we er mee moeten doen... de standaard huis-tuin-en-keuken-gebruiker die de aan-en-uitschakelaar van een computer kan vinden en dat al knap vind heeft geen idee hoe en wat die er mee aan moet...

als je dus de keuze aan de gebruiker laat raakt de helft van de internettende mensen in paniek als ze ineens iets kwijt zijn of niet meer weten wat ze moeten doen...

Helaas is dit ook de groep die geen idee heeft wat ze aan moeten met een balkje met allerlei letters erin die wij kennen als adresbalk...

Adion

@edie • 24 november 2005 11:51

Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.

Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.

Voor het verplicht tonen van de adresbalk lijkt het mij dat net zoals met het blokkeren van popups nu in firefox je gewoon zou kunnen kiezen dat een bepaalde site wel het recht heeft om de adresbalk te verwijderen.

Olaf van der Spek @Adion • 24 november 2005 12:52

Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.

En dat is dus niet de beste oplossing.

Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.

Waarom voeg je die informatie niet gewoon toe aan het formulier zelf?

Seal64 @Anoniem: 14124 • 24 november 2005 10:56

Beetje brakke redenering volgens mij. Dan wordt je popup venstertje gewoon een regel hoger om die adresbalk erin te proppen, da's toch niet zo moeilijk?
Overigens mogen wat mij betreft websites die voor wat voor reden dan ook, popups gebruiken, meteen al van het web af. Tenzij Firefox die popups in een tab kan zetten, natuurlijk.

mvanuem 24 november 2005 10:37

Hopelijk gaat dit het "automatisch op alle schermpjes klikken (waarvan wordt gedacht dat de link naar een 'hulp'-site verwijst)" al zoveel mogelijk tegen, omdat je nu de werkelijke webadres van een site te zien krijgt

Feit blijft wel dat iedereen moet blijven opletten waar hij/zij op klikt, omdat je daar als gebruiker toch zelf verantwoordelijk voor blijft!

rtgo 24 november 2005 11:52

Ik ben benieuwd of we de standaard uitkomst krijgen van deze besprekingen: MS komt met een idee maar wil dat patenteren, anderen willen een alternatief onder GPL --> veel ruzie --> Geen standaard of twee standaarden.

Laten we hopen dat de browsermakers van hun eerdere fouten hebben geleerd.

sir_huxley 24 november 2005 10:55

Dat niemand ooit op het idee is gekomen om gewoon een popup venster internet explorer of firefox na te bouwen.
je kunt de meeste functies gewoon via script aanroepen en een adresbalk is ook zo nagebouwd. Laat deze de gegevens via een cgi-proxy ophalen en het lijkt net alsof je te maken hebt met een echte browser.
cia css is het dan eenvoudig om de adresbalk een groene kleur te geven.

Nu internet steeds sneller wordt merk je haast niets van het laden van de images.

het beste is gewoon om gebruikers te dwingen te controleren of het certivicaat juist is. dit is moeilijker voor een doorsnee gebruiker maar gerandeerd wel de meeste zekerheid.

(natuurlijk blijf je altijd de man in de middle probleem houden.)

Nvidiot @sir_huxley • 24 november 2005 11:26

Je moet juist niet de gebruiker dat soort veiligheids-beslissingen laten maken. Je ziet dat dat al jaren fout gaat. "JA ik wil Bonzi-buddy installeren" "JA ik wil coolwebsearch installeren" Waarom? Omdat ze dan een leuke screensaver krijgen, of omdat ze denken dat ze op de juiste site zitten.
De geavanceerde gebruiker weet dat hij geen beveiligings certificaat popup hoort te krijgen als hij naar de site van zijn bank gaat, de 'normale' gebruiker ziet een popup, en klikt op JA omdat hij naar de site van de bank wil en die popup zit in de weg.

Op dit item kan niet meer gereageerd worden.

Browsermakers bespreken antiphishingmaatregelen

Lees meer

Reacties (39)

Sorteer op:

Weergave: