Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties
Bron: C|Net

Begin januari heeft Microsoft onaangekondigd een nieuwe feature in Internet Explorer 7 geactiveerd. Een speciaal veiligheidscertificaat zorgt ervoor dat betrouwbare websites herkenbaar zijn door de adresbalk van een groene kleur te voorzien.

De nieuwe feature van Microsofts internetbrowser is een nieuwe maatregel in de strijd tegen phishingsites. De groene adresbalk moet voor gebruikers een veiligheidsindicator zijn die aangeeft dat, zonder het gevaar van potentiŽel misbruik, persoonsgegevens, zoals creditcardinformatie, kan worden ingevoerd. De nieuwe feature van Internet Explorer zal door Microsoft worden gepromoot tijdens de komende RSA-conferentie in San Francisco die volgende week plaats zal vinden. Volgens Verisign, het bedrijf dat de nieuwe 'groene' certificaten uitgeeft, zijn er inmiddels 300 bedrijven die gebruikmaken van de nieuwe anti-phishing maatregel. De nieuwe feature in IE gebruikt 'extended validation certificates' om de groene adresbalk mogelijk te maken. Deze certificaten zijn vrijwel identiek aan standaard ssl-certificaten, alleen de controle van de identiteit van de certificaathouder is veel strenger, waardoor de veiligheid kan worden gewaarborgd.

Microsoft is de eerste browserproducent die ev ssl-certificaten implementeert. Andere browserfabrikanten zijn nog wat afwachtend. Mozilla verwacht de nieuwe extra veilige certifcaten in Firefox 3 te ondersteunen, terwijl Opera nog even de kat uit de boom kijkt. Volgens critici zijn de nieuwe certificaten een goede ontwikkeling en bieden ze de mogelijkheid om phishing scams lastiger te maken. Daar staat echter tegenover dat het nu alleen nog maar mogelijk is voor grotere bedrijven om een dergelijk certificaat te bemachtigen, waardoor lang niet alle veilige websites van dit systeem gebruik kunnen maken. CA Browser Forum, de organisatie die de regels voor de ev ssl-certificaten opstelt, werkt echter aan een oplossing voor dit probleem die de betrouwbaarheid van de certificaten toch zal blijven waarborgen.

IE7 ev ssl
Moderatie-faq Wijzig weergave

Reacties (80)

Opera ondersteunt het ook al begreep ik uit een ander verhaal, de onderste helft van de afbeelding is een screenshot van Opera... Waarom lees ik dan in het stukje dat Opera nog even de kat uit de boom kijkt?
Mijn Opera snapt er anders niks van, hij vindt het zelfs een onveilig certificaat (kent Microsofts EV cert niet). Opera heeft al wel (sinds 9.10 dacht ik) een anti-phising tool in de vorm van een i in de adresbalk, waar aangegeven staat of een site trusted is of niet (en in het laatste geval krijg je ook een waarschuwingspagina waar je moet doorklikken om op het origineel te komen). Veel vaker bruikbaar dan zo'n EV-SSL imho.
onaangekondigd? dit is al begin november vorig jaar aangekondigd.

In december is er ook een artikel gepost omtrent EV-SSL en kleine bedrijfjes
Klopt! Tevens is er al een study die zegt dat de Extended Validation SSL Certificaten niet effectief zijn en niet voor een verbetering zorgen in de mogelijkheid van de gebruiker om aanvallen op te sporen.
Met 'onaangekondigd' wordt bedoeld dat MS niet de gebruikelijke marketingheisa heeft georganiseerd, maar de feature gewoon heeft aangezet. Dat ev eraan kwam is vorig jaar ook hier gemeld, en in november 2005 was al te lezen dat deze techniek in ontwikkeling was.
Daarnaast neemt hier door uiteindelijk het bezoekersaantal van websites af die niet van de grote bedrijven zijn. Aangezien alleen grote bedrijven hier gebruik van kunnen en mogen maken;
Daar staat echter tegenover dat het nu alleen nog maar mogelijk is voor grotere bedrijven om een dergelijk certificaat te bemachtigen, waardoor lang niet alle veilige websites van dit systeem gebruik kunnen maken.
Dat is inderdaad het gevaar en wellicht het doel van MS. Net als signed applications. Dit is niet echt positief voor hobby sites net zoals signed code een poging is om de freeware de das om te doen.

En het is uiteindelijk allemaal valse veiligheid, iedere serieuze boef kan zo'n certificaat bemachtigen als hij maar geld wil besteden.

Je kunt je toch angstig afvragen of MS niet het liefste uiteindelijk alle websites compleet zou willen blokkeren die geen certificaat hebben waar dus voor betaald moet worden. Net zoals ze ooit met palladium voor applicaties hebben durven voorstellen.

Als het uiteindelijk allemaal alleen maar vrijblijvend is en het enige verschil een wel of niet groene adresbalk zal zijn, dan is het compleet nutteloos omdat 50% van de sites altijd niet groen zullen blijven en dus negeren de gebruikers het.
Net als signed applications. Dit is niet echt positief voor hobby sites net zoals signed code een poging is om de freeware de das om te doen.

Wat een onzin. Enige onderbouwing? Gaan we weer met het MS-bashing

En het is uiteindelijk allemaal valse veiligheid, iedere serieuze boef kan zo'n certificaat bemachtigen als hij maar geld wil besteden.

Een extended verification cert? Natuurlijk! FF bellen en dan heb je er een...
Het lijkt mij dat de onderbouwing van mike_mike prima is.
Hoeveel mensen die een website beheren als hobby zullen zo een certificaat aanvragen?
Het kost gewoon teveel moeite/geld.

Resultaat:
a] Sites worden vermeden en de website beheerders stoppen ermee. Daarmee gaan het deel van internet dood wat ik het mooiste deel vind.

of

b] Slechts een enkeling kijkt naar die kleurtjes en surft lekker door. Resultaat heel het idee is waardeloos.

IE heeft momenteel trusted en restricted zones.
Ja, ik weet dat dat heel wat anders is. De vraag is hoeveel mensen hebben alles op trusted staan om lekker te kunnen surfen.
In ieder geval 1 persoon. Ik.
Ik zorg wel op andere manieren dat mijn PC schoon blijft...
Waarom zou iedere hobby site dan certificaten moeten hebben? Heb jij soms een hobby bank op je hobby site zodat mensen beveiligd kunnen internet bankieren met hobby geld? Weet je uberhaubt wel waar je het over hebt? Kom op hoeveel site's hebben nu een SSL certificaat? Ik zie voor de willekeurige chat sites of forums nog steeds geen https:// staan hoor.
ik ben benieuwd wat er gaat gebeuren als die filter er 1 keer (om wat voor reden dan ook) naast zit...

dit is op zich erg leuk dat je dit doet maar op het moment dat je nu op een phishing site terecht komt en je browser geeft aan dat hij veilig is hoe zou de aansprakelijkheid dan komen te liggen....
Als het is wat ik denk dat het is, dat je dus een Certificate Signing policy toevoegd aan de certificaten tijdens het tekenen, dan is dat eenvoudig zelf ook te doen mits je een CA beheert die al in IE is opgenomen als betrouwbare CA (zoals Verisign, Thawte en GlobalSign).
Dus... als je als phising instantie een CA zo gek kan krijgen om iets te doen wat niet mag uit de lijst van vertrouwde CAs, dan kan je het ook.

conclusie: De grote groot simpele vissers haal je met deze techniek er dus uit, omdat het zeer lastig is om dit voor elkaar te krijgen.
Neem 1 klein virusje dat de computer zelf wat aantast, en IE geeft overal groene balken.....
Nee, dat kan niet meer in IE7. Deze laat altijd de url zien waar je heen gaat als je een scherm opent zonder menubalk erin
Of grote blauwe schermvullende balken :+
je kan met een 'print screen' toch gewoon een groene site nabootsen als jpeg, door de site te openen in een browser zonder menu.
Mensen clicken maar wat.
40% v/d mensen die naar dat kleurtje kijkt lijkt me al erg veel.
4% die elke URL gaat bekijken lijkt me nog onwaarschijnlijker.
Sure, maar MickeySoft kennende, hebben ze hier ook wel aangedacht en verwacht ik dat ze bij MS de API, die het balkje groen maakt, goed beschermt houden. Ik wacht dat het obscuur gehouden wordt en dat ze enkelt geregistreerde elementen van bijv. IE de kans geven om de check uit te voeren en dus het signaal af te geven.

Uiteraard kan alles misbruikt worden en verkloot worden.
Precies, dit biedt nog weer meer phishingmogelijkheden imo.
Dit brengt eigenlijk nieuwe gevaren met zich mee:

Bv. spyware die IE7 zo hijackt dat je bij het intypen van bv. www.rabobank.nl niet alleen naar een phishing site wordt doorverwezen, maar er ook nog eens voor zorgt dat de adresbalk groen wordt. Zo wordt eventueel argwaan tov het er iets anders uitzien van de site meteen in de kiem gesmoord :)
Is het niet zo dat die data alleen vanaf de "grote" database aan te passen is?
Beetje frommelen in de Hosts file. Mini servertje/trojan draaien die bepaalde sites groen licht geeft en klaar.
Hier blijkt maar weer duidelijk dat bedrijven als Verisign een steek hebben laten vallen bij het verkopen van certificaten in de laatste jaren.

Als ze vanaf het begin af aan de identiteitcontrole goed hadden aangepakt, was het niet nodig geweest om een EV certificaat in te voeren.

Ik zie over 5 jaar een gouden toekomst voor EEV certificaten (Extended Extended validation).
Dat is ook al zo... Ik heb meerdere keren SSL certificaten aangevraagd voor klanten en dan moet je aardig wat gegevens overleggen zoals bijvoorbeeld uitreksel van de KvK, kopie paspoort van op KvK uitreksel genoemde eigenaar van bedrijf, etc.. Er wordt ook gecontroleerd of de domeinnaam waarvoor het SSL certificaat wordt aangevraagd staat geregisteerd op naam van het genoemde bedrijf en op hetzelfde adres.
En wat nou als je kleurenblind bent? :)
Dan moet je eerst je creditkaart details opgeven om te verifiŽren dat je de echt kleurenblind bent of een monochroom monitor gebruiken.
Terug naar het zwart wit scherm :P
En wie beheert de lijst met 'veilige' sites?
Verisign, het bedrijf dat de nieuwe 'groene' certificaten uitgeeft, zijn er inmiddels 300 bedrijven die gebruikmaken van de nieuwe anti-phishing maatregel.
www.verisign.com
Thawte heeft ze ook, maar ze zijn ongeveer 400-600 euro per jaar ipv de gebruikelijke 50-150 euro. www.thawte.com, ik heb ernaar gekeken voor een klant, maar voor de kleine populatie die IE7 draait tien keer zoveel uitgeven aan een certificaat vonden we nogal overkill. ;)
En?
Dit is ook niet bedoeld voor je blogje, dit is voor grotere bedrijven waar je financieele transacties mee doet.
Door Phising worden gewone gebruikers tot beetgepakt.
Tegenwoordig is je token + pincode niet voldoende meer.
Als je als bank voor 400/500 dollar een veiligere verbinding voor al je klanten kan garanderen, totdat hier ook weer wat op komt, wat niet de schuld van MS is, maar van criminelen, is dit geen dure investering.
Of denk je dat al die tokens ook gratis zijn?
En dit is zeker niet te omzeilen...lekker vals gevoel van veiligheid vind ik dit !
Dus volgens jouw is het wel te omzeilen... lekker vals gevoel van deskundigheid vindt ik dit :Z
k kan me bijna niet voorstellen dat dit niet te omzeilen valt
Ik denk niet dat jij weet waar je het over hebt.

Veiligheid is wel degelijk te garanderen. Zolang je maar onderscheid maakt tussen drie zaken:

1. elke vorm van communicatie tussen ontvanger en verstuurder kan veilig zijn ondanks een onbetrouwbare tussenpersoon. Denk hierbij aan PGP en SSH.

2. elke vorm van communicatie tussen ontvanger en verstuurder waarbij de ontvanger onbetrouwbaar is, is per defintie onbetrouwbaar. Denk hierbij aan DRM.

3. elk vorm van communicatie waar de boodschap dient te worden geinterpreteerd met een turing-machiene zal inherent onveilig, of op zijn minst, _irritant_ kunnen zijn. Er zijn dan twee mogelijkheden: of de software heeft minder rechten (en kan dus minder nuttig zijn), of de software kan zich naar gelieven misdragen. Denk hierbij aan virussen, trojans en spyware: er is geen tool die op voorhand in staat is ze te herkennen. (ookal beweren sommige van deze bedrijven van wel: het is niet waar, ze LIEGEN)

Over dit specifieke geval: certificaten
In het geval van certificaten, wat in categorie 1 hierboven valt, is de veiligheid afhankelijk van:

1. of je alle software die op je computer draait vertrouwt.
2. je het bedrijf dat die certificaten verstrekt vertrouwt.

Zelfs je eigen internet provider hoef je alleen te vertrouwen wanneer je IE7 download. Daarna zal de software instaat zijn te garanderen dat ze daadwerkelijk met de certificaat-instantie communiceren. Er is geen middle-man die zich kan voordoen als zodanig.

De basis van deze vorm van communicatie-veiligheid: encryptie. Ik zou zeggen google er op los en educate yourself. DRM zal altijd gekraakt worden, maar de postbode zal nooit je ge-encrypteerde post kunnen lezen. Aangezien je de sleutel er niet bij levert. En dat doe je wel in het geval van DRM.

Haal deze twee zaken niet door elkaar. En het feit dat software als Windows zo onveilig is, heeft alles te maken met categorie 3: ze staan op veels te veel plekken communicatie toe dat een turing-machiene vereist om de boodschap te 'lezen'. Voor meer informatie, google de Chomsky hierarchie of lees het boek 'Godel, Escher en Bach' van Douglas Hofstadter.
Ik kan me bijna niet voorstellen dat dit niet te omzeilen valt...niet dat ik er nu een oplossing voor heb, maar de afgelopen jaren is wel gebleken dat er mensen zijn die trucjes verzinnen hiervoor. Wat mijn voornaamste zorg is dat als mensen een groen balkje zien nu per definitie denken veilig te zijn en dus helemaal niet meer opletten of er iets mis zou kunnen zijn. Mijn opmerking was dus niet bedoeld ten aanzien van de techniek op zich, het is goed dat er ontwikkelingen zijn om de boel veiliger te krijgen. Maar de reactie van de meeste internet gebruikers baart me wel zorgen.
Het certifikaat is misschien veilig en je weet met wie je te maken hebt, maar de webserver kan nog steeds gehacked zijn. Het groene balkje geeft dus geen 100% garantie dat jouw persoongegevens in veilige handen zijn.

Hoe hoger de eisen zijn om een certifikaat te krijgen, des te minder sites zullen ook daadwerkelijk zo'n certifikaat hebben. Als er slechts een paar honderd sites wereldwijd zo'n certifikaat hebben dan is het een nutteloze tool. Als het certifikaat makkelijk te krijgen is dan zal de veilgheidsgarantie niet zo heel veel voorstellen.
Ja vint ik ook!
Dat is waar het allemaal om draait...
save the net
dat gaat over de VS en daar hebben wij dus niets aan aangezien de house of representatives hier niets te zeggen heeft ;)
En wie beheert de lijst met 'veilige' sites?
ik!
kopen?!?
speciale prijs voor jou: 50 euro.

ff serieus, waarom zouden een aantal bedrijven mogen bepalen wat wel en niet veilige sites zijn! Dat moet de gehele internet communitie bepalen vind ik. Laat bezoekers van sites de sites als veilig taggen. Dan kunnen andere bezoekers bij een site zien hoe vaak deze als veilige getagged is.
En dan komen er uit de phising/spam community's, bots die de sites automatisch als veilig modereren. Lijkt me niet echt een goed idee. Ik vind dat zoals het nu is dat er een bedrijf is die dus de veiligheid van een website garandeerd wel goed. Ik vraag me nu alleen nog af of dit ook nog gecontroleerd wordt door een tweede en derde instantie zoals de CIA ofzo dat zou uiteraard wel moeten.
Die kleuren zullen wel ergens in het register staan opgeslagen. Kan een trojan of zoiets veranderen
van:
unsafe = #FF0000
safe =#00FF00
naar:
unsafe = #00FF00
safe =#FF0000

Dan worden rood en groen omgewisselt.
Wat dacht je van een address-bar vrije window met een plaatje van een groene URL-balk met 'correcte url'.

Of beter, een plaatje met een groen html form input tag zodat het intypen van een url nog steeds *lijkt* te werken.
adresbar vrij kan niet meer in IE7 tenzij het een lokale of vertrouwde website is..
Wat dacht je van een afbeelding van een window alsof het 'on top' ligt van een ander window. Net zoals die suffe 'your computer is at risk' popup look-a-likes.
zoals al aangegeven. IE7 laat altijd de adresbalk zien.
Inderdaad denk heus wel dat zoiets zou kunnen en ik kijk zelf ook nog een beetje de kat uit de boom zoals opera
Ik weet het wel zeker. Heb jij ooit een stukje lokale software gezien wat niet te kraken bleek te zijn? Denk je dat IE7 het eerste programma zal zijn wat onkraakbaar is?
Sorry is al eens genoemd zag ik net pas.

Voor de firefox gebruikers is het er nu al:
site advisor
Wordt bijgehouden door gebruikers. Moet zeggen vind het erg makkelijk.
Wordt bijgehouden door gebruikers. Moet zeggen vind het erg makkelijk.
Zijn de gebruikers echt 100% betrouwbaar? Nou nee! Er kunnen de gebruikers zijn dat ze warez sites als veilige site bestempelen!
Daarom zou ik het ook alleen gebruiken voor het moment dat ze zeggen dat ze site niet vertrouwen. Dan hoef je deze ook niet te vertrouwen. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True