IE7 geeft veilige sites 'groen licht'

Begin januari heeft Microsoft onaangekondigd een nieuwe feature in Internet Explorer 7 geactiveerd. Een speciaal veiligheidscertificaat zorgt ervoor dat betrouwbare websites herkenbaar zijn door de adresbalk van een groene kleur te voorzien.

De nieuwe feature van Microsofts internetbrowser is een nieuwe maatregel in de strijd tegen phishingsites. De groene adresbalk moet voor gebruikers een veiligheidsindicator zijn die aangeeft dat, zonder het gevaar van potentiëel misbruik, persoonsgegevens, zoals creditcardinformatie, kan worden ingevoerd. De nieuwe feature van Internet Explorer zal door Microsoft worden gepromoot tijdens de komende RSA-conferentie in San Francisco die volgende week plaats zal vinden. Volgens Verisign, het bedrijf dat de nieuwe 'groene' certificaten uitgeeft, zijn er inmiddels 300 bedrijven die gebruikmaken van de nieuwe anti-phishing maatregel. De nieuwe feature in IE gebruikt 'extended validation certificates' om de groene adresbalk mogelijk te maken. Deze certificaten zijn vrijwel identiek aan standaard ssl-certificaten, alleen de controle van de identiteit van de certificaathouder is veel strenger, waardoor de veiligheid kan worden gewaarborgd.

Microsoft is de eerste browserproducent die ev ssl-certificaten implementeert. Andere browserfabrikanten zijn nog wat afwachtend. Mozilla verwacht de nieuwe extra veilige certifcaten in Firefox 3 te ondersteunen, terwijl Opera nog even de kat uit de boom kijkt. Volgens critici zijn de nieuwe certificaten een goede ontwikkeling en bieden ze de mogelijkheid om phishing scams lastiger te maken. Daar staat echter tegenover dat het nu alleen nog maar mogelijk is voor grotere bedrijven om een dergelijk certificaat te bemachtigen, waardoor lang niet alle veilige websites van dit systeem gebruik kunnen maken. CA Browser Forum, de organisatie die de regels voor de ev ssl-certificaten opstelt, werkt echter aan een oplossing voor dit probleem die de betrouwbaarheid van de certificaten toch zal blijven waarborgen.

IT-banen

Reacties (80)

Verwijderd 2 februari 2007 23:57

Opera ondersteunt het ook al begreep ik uit een ander verhaal, de onderste helft van de afbeelding is een screenshot van Opera... Waarom lees ik dan in het stukje dat Opera nog even de kat uit de boom kijkt?

Ilmar @Verwijderd • 3 februari 2007 00:24

Mijn Opera snapt er anders niks van, hij vindt het zelfs een onveilig certificaat (kent Microsofts EV cert niet). Opera heeft al wel (sinds 9.10 dacht ik) een anti-phising tool in de vorm van een i in de adresbalk, waar aangegeven staat of een site trusted is of niet (en in het laatste geval krijg je ook een waarschuwingspagina waar je moet doorklikken om op het origineel te komen). Veel vaker bruikbaar dan zo'n EV-SSL imho.

crisp Senior Developer 3 februari 2007 00:02

onaangekondigd? dit is al begin november vorig jaar aangekondigd.

In december is er ook een artikel gepost omtrent EV-SSL en kleine bedrijfjes

Jay.NET @crisp • 3 februari 2007 00:17

Klopt! Tevens is er al een study die zegt dat de Extended Validation SSL Certificaten niet effectief zijn en niet voor een verbetering zorgen in de mogelijkheid van de gebruiker om aanvallen op te sporen.

Rataplan @crisp • 3 februari 2007 09:06

Met 'onaangekondigd' wordt bedoeld dat MS niet de gebruikelijke marketingheisa heeft georganiseerd, maar de feature gewoon heeft aangezet. Dat ev eraan kwam is vorig jaar ook hier gemeld, en in november 2005 was al te lezen dat deze techniek in ontwikkeling was.

Willson 2 februari 2007 23:44

Daarnaast neemt hier door uiteindelijk het bezoekersaantal van websites af die niet van de grote bedrijven zijn. Aangezien alleen grote bedrijven hier gebruik van kunnen en mogen maken;

Daar staat echter tegenover dat het nu alleen nog maar mogelijk is voor grotere bedrijven om een dergelijk certificaat te bemachtigen, waardoor lang niet alle veilige websites van dit systeem gebruik kunnen maken.

Verwijderd @Willson • 3 februari 2007 02:58

Dat is inderdaad het gevaar en wellicht het doel van MS. Net als signed applications. Dit is niet echt positief voor hobby sites net zoals signed code een poging is om de freeware de das om te doen.

En het is uiteindelijk allemaal valse veiligheid, iedere serieuze boef kan zo'n certificaat bemachtigen als hij maar geld wil besteden.

Je kunt je toch angstig afvragen of MS niet het liefste uiteindelijk alle websites compleet zou willen blokkeren die geen certificaat hebben waar dus voor betaald moet worden. Net zoals ze ooit met palladium voor applicaties hebben durven voorstellen.

Als het uiteindelijk allemaal alleen maar vrijblijvend is en het enige verschil een wel of niet groene adresbalk zal zijn, dan is het compleet nutteloos omdat 50% van de sites altijd niet groen zullen blijven en dus negeren de gebruikers het.

Verwijderd @Verwijderd • 3 februari 2007 10:32

Net als signed applications. Dit is niet echt positief voor hobby sites net zoals signed code een poging is om de freeware de das om te doen.

Wat een onzin. Enige onderbouwing? Gaan we weer met het MS-bashing

En het is uiteindelijk allemaal valse veiligheid, iedere serieuze boef kan zo'n certificaat bemachtigen als hij maar geld wil besteden.

Een extended verification cert? Natuurlijk! FF bellen en dan heb je er een...

Verwijderd @Verwijderd • 3 februari 2007 14:13

Het lijkt mij dat de onderbouwing van mike_mike prima is.
Hoeveel mensen die een website beheren als hobby zullen zo een certificaat aanvragen?
Het kost gewoon teveel moeite/geld.

Resultaat:
a] Sites worden vermeden en de website beheerders stoppen ermee. Daarmee gaan het deel van internet dood wat ik het mooiste deel vind.

of

b] Slechts een enkeling kijkt naar die kleurtjes en surft lekker door. Resultaat heel het idee is waardeloos.

IE heeft momenteel trusted en restricted zones.
Ja, ik weet dat dat heel wat anders is. De vraag is hoeveel mensen hebben alles op trusted staan om lekker te kunnen surfen.
In ieder geval 1 persoon. Ik.
Ik zorg wel op andere manieren dat mijn PC schoon blijft...

Chatslet @Verwijderd • 3 februari 2007 23:12

Waarom zou iedere hobby site dan certificaten moeten hebben? Heb jij soms een hobby bank op je hobby site zodat mensen beveiligd kunnen internet bankieren met hobby geld? Weet je uberhaubt wel waar je het over hebt? Kom op hoeveel site's hebben nu een SSL certificaat? Ik zie voor de willekeurige chat sites of forums nog steeds geen https:// staan hoor.

Verwijderd 2 februari 2007 23:41

ik ben benieuwd wat er gaat gebeuren als die filter er 1 keer (om wat voor reden dan ook) naast zit...

dit is op zich erg leuk dat je dit doet maar op het moment dat je nu op een phishing site terecht komt en je browser geeft aan dat hij veilig is hoe zou de aansprakelijkheid dan komen te liggen....

VisionMaster @Verwijderd • 3 februari 2007 07:52

Als het is wat ik denk dat het is, dat je dus een Certificate Signing policy toevoegd aan de certificaten tijdens het tekenen, dan is dat eenvoudig zelf ook te doen mits je een CA beheert die al in IE is opgenomen als betrouwbare CA (zoals Verisign, Thawte en GlobalSign).
Dus... als je als phising instantie een CA zo gek kan krijgen om iets te doen wat niet mag uit de lijst van vertrouwde CAs, dan kan je het ook.

conclusie: De grote groot simpele vissers haal je met deze techniek er dus uit, omdat het zeer lastig is om dit voor elkaar te krijgen.

RemcoDelft @VisionMaster • 3 februari 2007 09:02

Neem 1 klein virusje dat de computer zelf wat aantast, en IE geeft overal groene balken.....

SunnieNL

@RemcoDelft • 3 februari 2007 11:13

Nee, dat kan niet meer in IE7. Deze laat altijd de url zien waar je heen gaat als je een scherm opent zonder menubalk erin

kozue @RemcoDelft • 3 februari 2007 10:05

Of grote blauwe schermvullende balken

Verwijderd @RemcoDelft • 3 februari 2007 10:51

je kan met een 'print screen' toch gewoon een groene site nabootsen als jpeg, door de site te openen in een browser zonder menu.

Verwijderd @RemcoDelft • 3 februari 2007 14:13

Mensen clicken maar wat.
40% v/d mensen die naar dat kleurtje kijkt lijkt me al erg veel.
4% die elke URL gaat bekijken lijkt me nog onwaarschijnlijker.

VisionMaster @RemcoDelft • 3 februari 2007 16:34

Sure, maar MickeySoft kennende, hebben ze hier ook wel aangedacht en verwacht ik dat ze bij MS de API, die het balkje groen maakt, goed beschermt houden. Ik wacht dat het obscuur gehouden wordt en dat ze enkelt geregistreerde elementen van bijv. IE de kans geven om de check uit te voeren en dus het signaal af te geven.

Uiteraard kan alles misbruikt worden en verkloot worden.

zwolle. @Verwijderd • 2 februari 2007 23:44

Precies, dit biedt nog weer meer phishingmogelijkheden imo.

Verwijderd 2 februari 2007 23:49

Dit brengt eigenlijk nieuwe gevaren met zich mee:

Bv. spyware die IE7 zo hijackt dat je bij het intypen van bv. www.rabobank.nl niet alleen naar een phishing site wordt doorverwezen, maar er ook nog eens voor zorgt dat de adresbalk groen wordt. Zo wordt eventueel argwaan tov het er iets anders uitzien van de site meteen in de kiem gesmoord

Cyw00d @Verwijderd • 3 februari 2007 01:44

Is het niet zo dat die data alleen vanaf de "grote" database aan te passen is?

Verwijderd @Cyw00d • 3 februari 2007 14:13

Beetje frommelen in de Hosts file. Mini servertje/trojan draaien die bepaalde sites groen licht geeft en klaar.

arieh 3 februari 2007 09:04

Hier blijkt maar weer duidelijk dat bedrijven als Verisign een steek hebben laten vallen bij het verkopen van certificaten in de laatste jaren.

Als ze vanaf het begin af aan de identiteitcontrole goed hadden aangepakt, was het niet nodig geweest om een EV certificaat in te voeren.

Ik zie over 5 jaar een gouden toekomst voor EEV certificaten (Extended Extended validation).

Milt @arieh • 4 februari 2007 01:09

Dat is ook al zo... Ik heb meerdere keren SSL certificaten aangevraagd voor klanten en dan moet je aardig wat gegevens overleggen zoals bijvoorbeeld uitreksel van de KvK, kopie paspoort van op KvK uitreksel genoemde eigenaar van bedrijf, etc.. Er wordt ook gecontroleerd of de domeinnaam waarvoor het SSL certificaat wordt aangevraagd staat geregisteerd op naam van het genoemde bedrijf en op hetzelfde adres.

Verwijderd 3 februari 2007 10:38

En wat nou als je kleurenblind bent?

Verwijderd @Verwijderd • 3 februari 2007 16:47

Terug naar het zwart wit scherm

fevenhuis @Verwijderd • 4 februari 2007 02:11

Dan moet je eerst je creditkaart details opgeven om te verifiëren dat je de echt kleurenblind bent of een monochroom monitor gebruiken.

Sponz 2 februari 2007 23:41

En wie beheert de lijst met 'veilige' sites?

Ruuddie @Sponz • 3 februari 2007 10:13

Verisign, het bedrijf dat de nieuwe 'groene' certificaten uitgeeft, zijn er inmiddels 300 bedrijven die gebruikmaken van de nieuwe anti-phishing maatregel.

www.verisign.com

OruBLMsFrl @Ruuddie • 3 februari 2007 12:06

Thawte heeft ze ook, maar ze zijn ongeveer 400-600 euro per jaar ipv de gebruikelijke 50-150 euro. www.thawte.com, ik heb ernaar gekeken voor een klant, maar voor de kleine populatie die IE7 draait tien keer zoveel uitgeven aan een certificaat vonden we nogal overkill.

weeraanmelden @OruBLMsFrl • 4 februari 2007 14:33

En?
Dit is ook niet bedoeld voor je blogje, dit is voor grotere bedrijven waar je financieele transacties mee doet.
Door Phising worden gewone gebruikers tot beetgepakt.
Tegenwoordig is je token + pincode niet voldoende meer.
Als je als bank voor 400/500 dollar een veiligere verbinding voor al je klanten kan garanderen, totdat hier ook weer wat op komt, wat niet de schuld van MS is, maar van criminelen, is dit geen dure investering.
Of denk je dat al die tokens ook gratis zijn?

mxcreep @Sponz • 3 februari 2007 13:00

En dit is zeker niet te omzeilen...lekker vals gevoel van veiligheid vind ik dit !

Roeligan @mxcreep • 3 februari 2007 20:11

Dus volgens jouw is het wel te omzeilen... lekker vals gevoel van deskundigheid vindt ik dit

Verwijderd @Roeligan • 5 februari 2007 00:19

k kan me bijna niet voorstellen dat dit niet te omzeilen valt

Ik denk niet dat jij weet waar je het over hebt.

Veiligheid is wel degelijk te garanderen. Zolang je maar onderscheid maakt tussen drie zaken:

1. elke vorm van communicatie tussen ontvanger en verstuurder kan veilig zijn ondanks een onbetrouwbare tussenpersoon. Denk hierbij aan PGP en SSH.

2. elke vorm van communicatie tussen ontvanger en verstuurder waarbij de ontvanger onbetrouwbaar is, is per defintie onbetrouwbaar. Denk hierbij aan DRM.

3. elk vorm van communicatie waar de boodschap dient te worden geinterpreteerd met een turing-machiene zal inherent onveilig, of op zijn minst, _irritant_ kunnen zijn. Er zijn dan twee mogelijkheden: of de software heeft minder rechten (en kan dus minder nuttig zijn), of de software kan zich naar gelieven misdragen. Denk hierbij aan virussen, trojans en spyware: er is geen tool die op voorhand in staat is ze te herkennen. (ookal beweren sommige van deze bedrijven van wel: het is niet waar, ze LIEGEN)

Over dit specifieke geval: certificaten
In het geval van certificaten, wat in categorie 1 hierboven valt, is de veiligheid afhankelijk van:

1. of je alle software die op je computer draait vertrouwt.
2. je het bedrijf dat die certificaten verstrekt vertrouwt.

Zelfs je eigen internet provider hoef je alleen te vertrouwen wanneer je IE7 download. Daarna zal de software instaat zijn te garanderen dat ze daadwerkelijk met de certificaat-instantie communiceren. Er is geen middle-man die zich kan voordoen als zodanig.

De basis van deze vorm van communicatie-veiligheid: encryptie. Ik zou zeggen google er op los en educate yourself. DRM zal altijd gekraakt worden, maar de postbode zal nooit je ge-encrypteerde post kunnen lezen. Aangezien je de sleutel er niet bij levert. En dat doe je wel in het geval van DRM.

Haal deze twee zaken niet door elkaar. En het feit dat software als Windows zo onveilig is, heeft alles te maken met categorie 3: ze staan op veels te veel plekken communicatie toe dat een turing-machiene vereist om de boodschap te 'lezen'. Voor meer informatie, google de Chomsky hierarchie of lees het boek 'Godel, Escher en Bach' van Douglas Hofstadter.

EJP @Roeligan • 4 februari 2007 02:18

Ja vint ik ook!

mxcreep @Roeligan • 4 februari 2007 15:14

Ik kan me bijna niet voorstellen dat dit niet te omzeilen valt...niet dat ik er nu een oplossing voor heb, maar de afgelopen jaren is wel gebleken dat er mensen zijn die trucjes verzinnen hiervoor. Wat mijn voornaamste zorg is dat als mensen een groen balkje zien nu per definitie denken veilig te zijn en dus helemaal niet meer opletten of er iets mis zou kunnen zijn. Mijn opmerking was dus niet bedoeld ten aanzien van de techniek op zich, het is goed dat er ontwikkelingen zijn om de boel veiliger te krijgen. Maar de reactie van de meeste internet gebruikers baart me wel zorgen.

RazorBlade72nd @Roeligan • 6 februari 2007 10:55

Het certifikaat is misschien veilig en je weet met wie je te maken hebt, maar de webserver kan nog steeds gehacked zijn. Het groene balkje geeft dus geen 100% garantie dat jouw persoongegevens in veilige handen zijn.

Hoe hoger de eisen zijn om een certifikaat te krijgen, des te minder sites zullen ook daadwerkelijk zo'n certifikaat hebben. Als er slechts een paar honderd sites wereldwijd zo'n certifikaat hebben dan is het een nutteloze tool. Als het certifikaat makkelijk te krijgen is dan zal de veilgheidsgarantie niet zo heel veel voorstellen.

tweakraiser @Sponz • 2 februari 2007 23:43

Dat is waar het allemaal om draait...
save the net

Verwijderd @tweakraiser • 2 februari 2007 23:47

dat gaat over de VS en daar hebben wij dus niets aan aangezien de house of representatives hier niets te zeggen heeft

badflower @Sponz • 4 februari 2007 13:13

En wie beheert de lijst met 'veilige' sites?

ik!
kopen?!?
speciale prijs voor jou: 50 euro.

ff serieus, waarom zouden een aantal bedrijven mogen bepalen wat wel en niet veilige sites zijn! Dat moet de gehele internet communitie bepalen vind ik. Laat bezoekers van sites de sites als veilig taggen. Dan kunnen andere bezoekers bij een site zien hoe vaak deze als veilige getagged is.

Darude1234 @badflower • 4 februari 2007 22:36

En dan komen er uit de phising/spam community's, bots die de sites automatisch als veilig modereren. Lijkt me niet echt een goed idee. Ik vind dat zoals het nu is dat er een bedrijf is die dus de veiligheid van een website garandeerd wel goed. Ik vraag me nu alleen nog af of dit ook nog gecontroleerd wordt door een tweede en derde instantie zoals de CIA ofzo dat zou uiteraard wel moeten.

RHochstenbach 2 februari 2007 23:54

Die kleuren zullen wel ergens in het register staan opgeslagen. Kan een trojan of zoiets veranderen
van:
unsafe = #FF0000
safe =#00FF00
naar:
unsafe = #00FF00
safe =#FF0000

Dan worden rood en groen omgewisselt.

Verwijderd @RHochstenbach • 3 februari 2007 00:09

Wat dacht je van een address-bar vrije window met een plaatje van een groene URL-balk met 'correcte url'.

Of beter, een plaatje met een groen html form input tag zodat het intypen van een url nog steeds *lijkt* te werken.

mschol @Verwijderd • 3 februari 2007 00:35

adresbar vrij kan niet meer in IE7 tenzij het een lokale of vertrouwde website is..

Verwijderd @mschol • 3 februari 2007 05:46

Wat dacht je van een afbeelding van een window alsof het 'on top' ligt van een ander window. Net zoals die suffe 'your computer is at risk' popup look-a-likes.

SunnieNL

@mschol • 3 februari 2007 11:14

zoals al aangegeven. IE7 laat altijd de adresbalk zien.

Chip. @RHochstenbach • 3 februari 2007 00:01

Inderdaad denk heus wel dat zoiets zou kunnen en ik kijk zelf ook nog een beetje de kat uit de boom zoals opera

kamerplant @Chip. • 3 februari 2007 10:59

Ik weet het wel zeker. Heb jij ooit een stukje lokale software gezien wat niet te kraken bleek te zijn? Denk je dat IE7 het eerste programma zal zijn wat onkraakbaar is?

Verwijderd 3 februari 2007 02:28

Sorry is al eens genoemd zag ik net pas.

Voor de firefox gebruikers is het er nu al:
site advisor
Wordt bijgehouden door gebruikers. Moet zeggen vind het erg makkelijk.

Dark Angel 58 @Verwijderd • 3 februari 2007 02:43

Wordt bijgehouden door gebruikers. Moet zeggen vind het erg makkelijk.

Zijn de gebruikers echt 100% betrouwbaar? Nou nee! Er kunnen de gebruikers zijn dat ze warez sites als veilige site bestempelen!

Spockz @Dark Angel 58 • 3 februari 2007 02:55

Daarom zou ik het ook alleen gebruiken voor het moment dat ze zeggen dat ze site niet vertrouwen. Dan hoef je deze ook niet te vertrouwen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: