Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Browsermakers bespreken antiphishingmaatregelen

Nadat eerder al aangekondigd werd dat Microsoft zijn krachten in het gevecht tegen phishing versterkt had, blijkt nu dat ontwikkelaars van alle grote browsers samen aan tafel zijn gaan zitten om te bespreken wat men kon doen om gebruikers veiliger op het internet te kunnen laten surfen. Verantwoordelijken voor Internet Explorer, Firefox, Opera en Konqueror overlegden vorige week in Toronto over identificatiemogelijkheden voor betrouwbare en verdachte websites. George Staikos, opensourceontwikkelaar voor KDE's grafische omgeving waar ook de Konqueror-browser zijn thuishaven heeft, stelt echter dat dit gesprek pas het begin is en dat er nog een lange weg te gaan is. Rob Franco van het IE-team deelde zijn ervaringen mee op het officile Internet Explorer-weblog, waarbij de antiphisingwerkbalk uit Internet Explorer 7 gebruikt wordt om enkele maatregelen te illustreren.

Browserlogo'sEen van de ideen die besproken werden, draait rond het aanpassen van pop-ups zodat elk browservenster een adresbalk krijgt, waardoor het voor fraudeurs moeilijker wordt het echte adres van een pop-up met bijvoorbeeld een invulformulier te verbergen. Ook het tonen van een pop-up die eruit ziet als een standaard Windows-alert wordt hierdoor bemoeilijkt, wat de veiligheid van gebruikers ten goede moet komen. Staikos gaf overigens, net zoals Frank Hecker van het Mozilla-project, aan dat het niet zeker is of alle veranderingen wel effectief doorgevoerd worden in de opensourcebrowsers, omdat er niet n verantwoordelijke is die bepaalt wat wel of niet ontwikkeld wordt. Desondanks achten beiden de kans zeer groot dat de ontwikkelaars de opmerkingen zullen meenemen in toekomstige versies van de software.

Door

Eindredacteur

39 Linkedin Google+

Bron: TechWeb

Reacties (39)

Wijzig sortering
Weinig zinvol...op het moment dat alle popups een adresbalk krijgen wordt het wel weer opgelost met een layer die het uiterlijk krijgt van een browser window... zo zijn overigens ook de windows alerts beter na te bootsen dan met een echt window.
wat ik in de reacties nog niet zie, is:

de browsermakers hebben straks dus mogelijk 1 standaard; als ik actief zou zijn op het gebied van phising zou ik in mijn handjes klappen, want dan hoefde ik nog maar 1 type beveiliging te omzeilen, en het zou vrij snel werken in alle browsers... |:(
dat soort links moeten optelossen zijn door dat gewoon niet te accepteren (dus dat alles na @ weglaat wanneer er ervoor een http:// adres staat?

en ik kan niet meer met ftp://server@user:wachtwoord inloggen..
dat is volgens mij dus al weggehaald
Firefox geeft ook zo'n vraag. Misschien trouwens alleen bij links of alleen bij HTTP (ooit gehoord van FTP spoofing?? :9), dat weet ik eigenlijk niet.
Een altijd-zichtbare-adresbalk is ook niet de oplossing, het is mogelijk om alsnog een adres te maken wat echt lijkt, maar stiekum toch naar een andere server (van de phisher) wijst.
Dat is al niet meer mogelijk in IE.
Een adresbalk tonen zal weinig of niets helpen. De meeste mensen die in phishing en/of spyware trappen zien ook niet het adres in de adresbalk.

Ik weet wel een andere oplossing die ze aan het besturingssysteem zouden moeten koppelen:

Wanneer de gebruiker niet als admin is ingelogd is het onmogelijk om willekeurig welke pop-up te openen in de browser, tenzij de gebruiker zelf op een link klikt. Vervolgens wordt de rand en titelbalk van de pop-up rood gekleurd, knippert twee keer en laat bijv. het windows security logo zien en de titelbalk bevat een korte tekst als "Pop-ups kunnen nep info bevatten" o.i.d..

Ook wordt bij deze clients de functionaliteit dat je in een mail kun klikken op een adres uitgeschakeld. Ze moeten dan altijd het adres zelf intypen.

Volgens mij is dit een goede start.
Laat nou net het merendeel van alle windows gebruikers gewoon onder admin draaien zonder er verstand van te hebben. (en een deel van de linux users ook onder root ongetwijfelt.)

Het idee met de waarschuwing kan goed ingebouwd worden. Maar dan nog moet de gebruiker zelf beoordelen of het veilig is. Postbank zegt bijvoorbeeld hoe de url eruit moet zien. Maar als een phishing die tekst nou ook aanpast? Sommige gebruikers lezen er overheen want die onthouden niet elke keer die url, veel te moeilijk als je maar een keer per week achter internet zit.

Domme mensen hou je altijd. Die reageren op een buitenlander die 30000 euro beloofd maar dan moet je eerst 1000 euro overmaken op hun account en andere van dat soort oplichtingen. Phishing kun je voor die mensen niet oplossen. Met geen enkele maatregel.
Het admin/client probleem zou in Vista goed komen en daar hoop ik ook nog steeds op. Windows XP als client komt erop neer dat installeren al bijna niet kan en veel programma's draaien niet eens onder client.

De waarschuwing is ook niet meer dan dat. Misschien zaait het wel het eerste zaadje naar bekendheid van phishing onder htk (huis, tuin...) gebruikers. Zeker als het nog een paar keer rood knippert dan letten ze misschien wel iets beter op.

Ik blijf hoop houden, ondanks dat de moed mij vaak in de schoenen zakt. :)
Dat niemand ooit op het idee is gekomen om gewoon een popup venster internet explorer of firefox na te bouwen.
je kunt de meeste functies gewoon via script aanroepen en een adresbalk is ook zo nagebouwd. Laat deze de gegevens via een cgi-proxy ophalen en het lijkt net alsof je te maken hebt met een echte browser.
cia css is het dan eenvoudig om de adresbalk een groene kleur te geven.

Nu internet steeds sneller wordt merk je haast niets van het laden van de images.

het beste is gewoon om gebruikers te dwingen te controleren of het certivicaat juist is. dit is moeilijker voor een doorsnee gebruiker maar gerandeerd wel de meeste zekerheid.

(natuurlijk blijf je altijd de man in de middle probleem houden.)
Anti-phising maatregelen, en wat komt er uit de bus: bij elke popup de adresbalk tonen... Ja, dat zal helpen! Nu zullen alle criminelen wel afgeschrikt zijn, want elk venster heeft z'n adresbalk! (die je via hostfiles naar gelijk welk ip kan laten verwijzen, die je kan trukeren (zoals hierboven vermeld), maar dit terzijde). Dit is een maatregel die eigenlijk geen maatregel is.
zal hij toch echt eerst je hostfile moeten kunnen aanpassen :z

nee ik vind het wel een goed idee. Op deze manier (ongeacht of het url juist is of niet) kan je een browser venster gemakkelijk van een echt windows dialoogvester onderscheiden. (wat voor een huis tuin en keuken gebruiker echt noodzakelijk is).

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*