Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Browsermakers bespreken antiphishingmaatregelen

Nadat eerder al aangekondigd werd dat Microsoft zijn krachten in het gevecht tegen phishing versterkt had, blijkt nu dat ontwikkelaars van alle grote browsers samen aan tafel zijn gaan zitten om te bespreken wat men kon doen om gebruikers veiliger op het internet te kunnen laten surfen. Verantwoordelijken voor Internet Explorer, Firefox, Opera en Konqueror overlegden vorige week in Toronto over identificatiemogelijkheden voor betrouwbare en verdachte websites. George Staikos, opensourceontwikkelaar voor KDE's grafische omgeving waar ook de Konqueror-browser zijn thuishaven heeft, stelt echter dat dit gesprek pas het begin is en dat er nog een lange weg te gaan is. Rob Franco van het IE-team deelde zijn ervaringen mee op het officiële Internet Explorer-weblog, waarbij de antiphisingwerkbalk uit Internet Explorer 7 gebruikt wordt om enkele maatregelen te illustreren.

Browserlogo'sEen van de ideeën die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt, waardoor het voor fraudeurs moeilijker wordt het echte adres van een pop-up met bijvoorbeeld een invulformulier te verbergen. Ook het tonen van een pop-up die eruit ziet als een standaard Windows-alert wordt hierdoor bemoeilijkt, wat de veiligheid van gebruikers ten goede moet komen. Staikos gaf overigens, net zoals Frank Hecker van het Mozilla-project, aan dat het niet zeker is of alle veranderingen wel effectief doorgevoerd worden in de opensourcebrowsers, omdat er niet één verantwoordelijke is die bepaalt wat wel of niet ontwikkeld wordt. Desondanks achten beiden de kans zeer groot dat de ontwikkelaars de opmerkingen zullen meenemen in toekomstige versies van de software.

Vorig nieuwsartikel Volgend nieuwsartikel

Door

Eindredacteur

Feedback • 24-11-2005 10:16 39

39 Linkedin Google+

Bron: TechWeb

Lees meer

Cybercriminelen spelen verstoppertje met fast flux-techniek Nieuws van 19 juli 2007
Microsoft klaagt 129 phishers aan Nieuws van 24 november 2006
Internet Explorer 7 heeft beste phishingdetectie Nieuws van 29 september 2006
Yahoo test dienst tegen phishing-websites Nieuws van 19 augustus 2006
Beveiligingsbedrijf waarschuwt tegen phishing via VoIP Nieuws van 11 juli 2006
Microsoft brengt laatste bèta IE7 uit Nieuws van 30 juni 2006
Microsoft wil af van traditionele wachtwoorden Nieuws van 18 februari 2006
Firefox-gebruikers klagen over problemen Nieuws van 6 december 2005
'Kerstperiode belooft drukke phishing-periode te worden' Nieuws van 5 december 2005
IE-bug zou phishing met Google Desktop mogelijk maken Nieuws van 4 december 2005
Release Firefox 1.5 start grote marketingcampagne Nieuws van 25 november 2005
Google dicht gaten in Base en Sitemaps Nieuws van 21 november 2005
Microsoft breidt antiphishingmaatregelen uit Nieuws van 21 november 2005
Yahoo dicht veiligheidsgat in e-maildienst Nieuws van 23 oktober 2005
Europeanen vertrouwen internet meer dan Amerikanen Nieuws van 20 oktober 2005
Aantal geregistreerde phishing-sites weer afgenomen Nieuws van 18 oktober 2005
Opnieuw poging tot phishing onder Postbank-klanten Nieuws van 12 oktober 2005
Microsoft komt met antiphishingsoftware voor IE6 Nieuws van 25 augustus 2005
Meer producten en artikelen
Software

Reacties (39)

-Moderatie-faq
-139037+132+27+33Ongemodereerd12
Wijzig sortering
+3 ATS
24 november 2005 10:26
Het verhaal vanaf de KDE kant (geschreven door George Staikos) kan hier gelezen worden.

edit: Ik zie nu dat ook Opera en Mozilla hun visie op de bijeenkomst gepost hebben.
+1 Wolfensteijn
@JCE24 november 2005 10:45
nee hoor. Dat is gewoon een linkje naar het officiele IE blog ;).
+2 AniMatrix
24 november 2005 10:32
Altijd een URL balk tonen heeft op dit moment wel zin, want geen enkele browser is in staat om popups tegen te houden. Het is toch gewoon van de gekke...

Maar zelf wil ik wel dat die optie uitgeschakeld wordt, want ik heb een hekel aan overige dingen :)

Voor de rest is het natuurlijk heel goed dat hier met de grote browsermakers over gesproken wordt. Een stukje toekomst van internet.
+3 Quacka
@AniMatrix24 november 2005 10:46
Ken jij dan Opera wel?
Die blokkeert toch echt de popups.
En dat doen ze nu al jaren....
0 RuudBurger
@Quacka24 november 2005 11:38
dat kan wel zijn, maar als jij op een link klikt dan zien Opera dat niet meer als popup.. en zo kan je alsnog een phishing site openen.
+3 Madcat
@RuudBurger24 november 2005 12:25
nee hoor, met opera kan je altijd het adress zien.
zoals de popup waar ik nu in zit te typen, die staat netjes geregistreerd bij de tabs.
dus als ik deze popup niet vertrouw, dan kan ik met een klik het adres opvragen.
0 mxcreep
@AniMatrix25 november 2005 09:37
Weinig zinvol...op het moment dat alle popups een adresbalk krijgen wordt het wel weer opgelost met een layer die het uiterlijk krijgt van een browser window... zo zijn overigens ook de windows alerts beter na te bootsen dan met een echt window.
+2 Clairvoyant
24 november 2005 10:33
"...zodat elk browservenster een adresbalk krijgt..."
Heeft Opera al een tijdje; extra balkje boven in window zodat je addressbar kunt openen. Niks nieuws :7
+1 Pietje Puk
@Clairvoyant24 november 2005 14:12
Volgens mij is Opera niet "elke browser", dus wel dergelijk nieuws. Juist het feit dat niet elke browser zijn eigen weg kiest maar men dit soort zaken gezamelijk bespreekt is een grote stap vooruit.
0 increddibelly
24 november 2005 13:39
wat ik in de reacties nog niet zie, is:

de browsermakers hebben straks dus mogelijk 1 standaard; als ik actief zou zijn op het gebied van phising zou ik in mijn handjes klappen, want dan hoefde ik nog maar 1 type beveiliging te omzeilen, en het zou vrij snel werken in alle browsers... |:(
+2 BartOtten
@increddibelly24 november 2005 18:29
Het gaat over standaard in uiterlijk. Niet over dhoe het van binnen werkt...volgens mij dan.
+1 19339
24 november 2005 10:44
Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.

Een paar jaar terug kreeg ik deze link: http://www.microsoft.com&item%3Dq209354@212.254.206.213/1338825GHU_98.asp

Deze link is nu down, maar je kreeg een bijna echt Microsoft-nieuwsitem (compleet met huisstijl en al) waarin stond uitgelegd dat Microsoft zojuist Red Hat had gekocht. Je ziet www.microsoft.com staan, en denkt dus dat het echt is.

Maar iets verder staat een @ gevolgd door een ip-adres... Alles voor de @ (hier toevallig iets met 'www.microsoft.com' erin) wordt als username doorgegeven aan de server na de @, in dit geval het ip-adres van een server die niets met MS van doen had.

Dit was maar een grapje, maar je kunt ook een webpagina als "http://www.abnamro.nl/bla/1jkdslf7485@123.12.45.12/bla/bla/pagina-om-creditcard-gegevens-te-ontfutselen.asp" maken.

Mijn moeder zou erin trappen.
0 mschol
@1933924 november 2005 11:03
dat soort links moeten optelossen zijn door dat gewoon niet te accepteren (dus dat alles na @ weglaat wanneer er ervoor een http:// adres staat?

en ik kan niet meer met ftp://server@user:wachtwoord inloggen..
dat is volgens mij dus al weggehaald
+2 aaiding
@mschol24 november 2005 11:12
Dat zou best kunnen dat 't niet werkt, het is namelijk: ftp://user:wachtwoord@server :P

In andere browsers dan IE werkt dat gewoon.
(Firefox/Netscape gaat meteen door; Opera vraagt eerst of je dat adres wil openen)
+1 rtgo
@aaiding24 november 2005 11:48
Dat kan in IE ook hoor. Het grootste verschil is dat ik in IE en konqueror een grafische FTP krijg (met drag & drop) en bij FF niet.
0 praseodymium
@aaiding24 november 2005 14:34
Firefox geeft ook zo'n vraag. Misschien trouwens alleen bij links of alleen bij HTTP (ooit gehoord van FTP spoofing?? :9), dat weet ik eigenlijk niet.
+1 praseodymium
@1933924 november 2005 11:15
Firefox geeft dan een vraag of dit de bedoeling is. Ook bij bv. z@ppelin.nl wat op hetzelfde principe berust (site ppelin.nl, username z)

Overigens is het username:password@server, niet server@username:password.
0 Olaf van der Spek
@1933924 november 2005 12:51
Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.
Dat is al niet meer mogelijk in IE.
0 magel725
24 november 2005 13:24
Een adresbalk tonen zal weinig of niets helpen. De meeste mensen die in phishing en/of spyware trappen zien ook niet het adres in de adresbalk.

Ik weet wel een andere oplossing die ze aan het besturingssysteem zouden moeten koppelen:

Wanneer de gebruiker niet als admin is ingelogd is het onmogelijk om willekeurig welke pop-up te openen in de browser, tenzij de gebruiker zelf op een link klikt. Vervolgens wordt de rand en titelbalk van de pop-up rood gekleurd, knippert twee keer en laat bijv. het windows security logo zien en de titelbalk bevat een korte tekst als "Pop-ups kunnen nep info bevatten" o.i.d..

Ook wordt bij deze clients de functionaliteit dat je in een mail kun klikken op een adres uitgeschakeld. Ze moeten dan altijd het adres zelf intypen.

Volgens mij is dit een goede start.
0 aequitas
@magel72524 november 2005 20:01
Laat nou net het merendeel van alle windows gebruikers gewoon onder admin draaien zonder er verstand van te hebben. (en een deel van de linux users ook onder root ongetwijfelt.)

Het idee met de waarschuwing kan goed ingebouwd worden. Maar dan nog moet de gebruiker zelf beoordelen of het veilig is. Postbank zegt bijvoorbeeld hoe de url eruit moet zien. Maar als een phishing die tekst nou ook aanpast? Sommige gebruikers lezen er overheen want die onthouden niet elke keer die url, veel te moeilijk als je maar een keer per week achter internet zit.

Domme mensen hou je altijd. Die reageren op een buitenlander die 30000 euro beloofd maar dan moet je eerst 1000 euro overmaken op hun account en andere van dat soort oplichtingen. Phishing kun je voor die mensen niet oplossen. Met geen enkele maatregel.
0 magel725
@aequitas24 november 2005 21:40
Het admin/client probleem zou in Vista goed komen en daar hoop ik ook nog steeds op. Windows XP als client komt erop neer dat installeren al bijna niet kan en veel programma's draaien niet eens onder client.

De waarschuwing is ook niet meer dan dat. Misschien zaait het wel het eerste zaadje naar bekendheid van phishing onder htk (huis, tuin...) gebruikers. Zeker als het nog een paar keer rood knippert dan letten ze misschien wel iets beter op.

Ik blijf hoop houden, ondanks dat de moed mij vaak in de schoenen zakt. :)
+1 mschol
24 november 2005 10:34
Een van de ideeën die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt
dit zou betekenen dat wanneer je een help popup hebt (waarin iets wordt uitgelegd zoals een functie van iets) dat je altijd een superlelijke adres balk hebt?
de help popups moeten imho geheel kale windows zijn

maar ik kan ook wel begrijpen waarom ze het willen doen...
+1 psyBSD
@mschol24 november 2005 10:43
Misschien kunnen ze het in de statusbalk proppen.

Maar dan moet je hem wel tijdelijk rood laten knipperen ofzo, zodat mensen erop letten.
0 Olaf van der Spek
@mschol24 november 2005 12:50
de help popups moeten imho geheel kale windows zijn
Waar heb je uberhaupt popups voor nodig?
De help pagina openen in een nieuwe tab lijkt me veel beter.
0 sir_huxley
24 november 2005 10:55
Dat niemand ooit op het idee is gekomen om gewoon een popup venster internet explorer of firefox na te bouwen.
je kunt de meeste functies gewoon via script aanroepen en een adresbalk is ook zo nagebouwd. Laat deze de gegevens via een cgi-proxy ophalen en het lijkt net alsof je te maken hebt met een echte browser.
cia css is het dan eenvoudig om de adresbalk een groene kleur te geven.

Nu internet steeds sneller wordt merk je haast niets van het laden van de images.

het beste is gewoon om gebruikers te dwingen te controleren of het certivicaat juist is. dit is moeilijker voor een doorsnee gebruiker maar gerandeerd wel de meeste zekerheid.

(natuurlijk blijf je altijd de man in de middle probleem houden.)
+1 Nvidiot
@sir_huxley24 november 2005 11:26
Je moet juist niet de gebruiker dat soort veiligheids-beslissingen laten maken. Je ziet dat dat al jaren fout gaat. "JA ik wil Bonzi-buddy installeren" "JA ik wil coolwebsearch installeren" Waarom? Omdat ze dan een leuke screensaver krijgen, of omdat ze denken dat ze op de juiste site zitten.
De geavanceerde gebruiker weet dat hij geen beveiligings certificaat popup hoort te krijgen als hij naar de site van zijn bank gaat, de 'normale' gebruiker ziet een popup, en klikt op JA omdat hij naar de site van de bank wil en die popup zit in de weg.
0 Nibb
24 november 2005 12:35
Anti-phising maatregelen, en wat komt er uit de bus: bij elke popup de adresbalk tonen... Ja, dat zal helpen! Nu zullen alle criminelen wel afgeschrikt zijn, want elk venster heeft z'n adresbalk! (die je via hostfiles naar gelijk welk ip kan laten verwijzen, die je kan trukeren (zoals hierboven vermeld), maar dit terzijde). Dit is een maatregel die eigenlijk geen maatregel is.
0 Laurens-R
@Nibb24 november 2005 23:46
zal hij toch echt eerst je hostfile moeten kunnen aanpassen :z

nee ik vind het wel een goed idee. Op deze manier (ongeacht of het url juist is of niet) kan je een browser venster gemakkelijk van een echt windows dialoogvester onderscheiden. (wat voor een huis tuin en keuken gebruiker echt noodzakelijk is).
+1 14124
24 november 2005 10:45
Ik vind die adres balk wel een heel slecht idee. Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.

Ik ben blij met het initiatief maar niet van de mogelijke oplossingen ervoor.
0 edie
@1412424 november 2005 10:57
Je vernielt daarmee de layout van elke web applicatie die juist popups opent met de adresbalk uit.
Zogenaamde 'webapplicaties' die zelfstandig popups openen? :X

Wat is er gebeurd met de normale websites waarbij de gebruiker zelf kan kiezen of hij de link in een nieuw scherm wil openen?

Dat hele gedoe met webapplicaties is volledig overhyped, imo.

Houdt het simpel. Laat het initiatief voor het openen van een nieuw scherm bij de gebruiker liggen.
+1 jarnog
@edie24 november 2005 11:00
het probleem is dat jij en ik vaak wel weten welke popup we kunnen verwachten en wat we er mee moeten doen... de standaard huis-tuin-en-keuken-gebruiker die de aan-en-uitschakelaar van een computer kan vinden en dat al knap vind heeft geen idee hoe en wat die er mee aan moet...

als je dus de keuze aan de gebruiker laat raakt de helft van de internettende mensen in paniek als ze ineens iets kwijt zijn of niet meer weten wat ze moeten doen...

Helaas is dit ook de groep die geen idee heeft wat ze aan moeten met een balkje met allerlei letters erin die wij kennen als adresbalk...
+1 Adion
@edie24 november 2005 11:51
Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.

Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.

Voor het verplicht tonen van de adresbalk lijkt het mij dat net zoals met het blokkeren van popups nu in firefox je gewoon zou kunnen kiezen dat een bepaalde site wel het recht heeft om de adresbalk te verwijderen.
0 Olaf van der Spek
@Adion24 november 2005 12:52
Mijn eigen webmailapplicatie gebruikt bijvoorbeeld een popup om te melden dat er een nieuwe mail is binnengekomen.
En dat is dus niet de beste oplossing.
Ook help-venstertjes die bij een formulier bijvoorbeeld moeten verduidelijken wat je precies moet invullen heb ik toch liever in een popup zodat ik gemakkelijk verder kan gaan met invullen.
Waarom voeg je die informatie niet gewoon toe aan het formulier zelf?
0 Seal64
@1412424 november 2005 10:56
Beetje brakke redenering volgens mij. Dan wordt je popup venstertje gewoon een regel hoger om die adresbalk erin te proppen, da's toch niet zo moeilijk?
Overigens mogen wat mij betreft websites die voor wat voor reden dan ook, popups gebruiken, meteen al van het web af. Tenzij Firefox die popups in een tab kan zetten, natuurlijk.
1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*