Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

VeriSign gaat websites van zijn klanten scannen op de eventuele aanwezigheid van malware. Sites die kwaadaardige software bevatten, zien het VeriSign-logo verdwijnen. Ook sites in zoekresultaten krijgen een VeriSign-keurmerk.

VeriSignOp veel sites die een geldig ssl-certificaat van VeriSign hebben, zijn al 'VeriSign Trusted'-logo's te vinden. De firma gaat deze sites aanvullend dagelijks scannen op de aanwezigheid van malware. Het logo moet in de toekomst dan ook aangeven dat de betreffende website niet alleen is voorzien van ssl, maar ook malware-vrij is.

Indien door de scanners van VeriSign malware wordt aangetroffen, dan zal het VeriSign-logo automatisch van de gecontroleerde site verdwijnen. Daarnaast krijgt de webmaster een e-mail met een waarschuwing. Via een management-console van VeriSign kan de locatie en de soort malware worden getraceerd. Pas als de beheerder de malware verwijderd heeft en de site 24 uur later weer is gescand, zal het keurmerk weer zichtbaar worden, zo meldt Cnet.

VeriSign gaat ook een 'Seal-in-Search'-programma starten. Daarbij worden als veilig beoordeelde sites in de zoekresultaten van onder andere Google via een logo gemarkeerd. Om deze aanduidingen te zien, is wel AVG's Linkscanner benodigd. Volgens VeriSign zal het de nieuwe scandiensten zonder meerprijs aan zijn klanten aanbieden. De nieuwe diensten moeten voor het einde van het jaar zijn ingevoerd.

Moderatie-faq Wijzig weergave

Reacties (28)

zijn het niet de adverteerders die gescanned moeten worden, in de meeste gevallen waar ik over lees komen de virussen van advertenties, niet van de site zelf.
Zo kan je altijd wel de schuld blijven afschuiven. Het is nu eenmaal het eenvoudigste om gewoon de website te scannen en indien er malware gevonden wordt de webmaster er gewoon op te wijzen en over te halen om de malware te verwijderen. Indien de malware van een bepaalde adverteerder afkomt moet de webmaster het contract met deze adverteerder ontbinden en met een andere betrouwbaardere adverteerder in zee gaan.
Indien de malware van een bepaalde adverteerder afkomt moet de webmaster het contract met deze adverteerder ontbinden en met een andere betrouwbaardere adverteerder in zee gaan.
De adverteerder kan te goeder trouw zijn. Het zal de eerste keer niet zijn dat adservers gecompromitteerd zijn.

Het serveren van advertenties van externe servers is simpelweg een onaanvaardbaar veiligheidslek.

edit: spellign
nog een edit: hele dikke vingers

[Reactie gewijzigd door tetraplan op 20 juli 2010 18:58]

True, dat heb je inderdaad ook. Maar dan moet de adverteerder gewoon zijn adservers afdoende beveiligen.
Goede actie!

Iedereen kan een SSL certificaat aanschaffen. Hierdoor gaat het certificaat van VeriSign een hogere "waarde" krijgen, en hebben ze nog kans ook dat het meer geld oplevert dan dat het kost doordat meer websites een VeriSign certificaat willen, ipv een certificaat van een concurent.
Ik vraag me af of die certificaten idd nut hebben. Iedereen kan zo'n ding plaatsen, maar weinig mensen nemen de moeite om ook echt te controleren of de site dat logo mag voeren. Daarnaast kan de gemiddelde consument Verisign, Thawte, Comodo, etc, echt niet uit elkaar houden... IMO vooral leuke marketinggimmick, in de praktijk voegt het niet heel veel toe, in iedergeval niet op dit vlak.

Wel positief is dat de webmaster op deze manier geattendeerd wordt op problemen, daar heb ik meer vertrouwen in dan hopen dat de gebruiker eerst kijkt of dat Verisign logo er idd nog steeds staat.
Iedereen kan een certificaat aanvragen. Het bevestigd eigenlijk alleen de hostnaam voor een x aantal jaar. Mijn idee was ook dat het alleen maar geldklopperij is.
Nu komt er dus een dynamisch attribuut bij die niet in het certificaat zit. Goed dat er nu eens dit gaan controleren en zichtbaar maken.
Er zal wel een add-in/plug-in voor browsers komen net zoals voor Web-of-Trust aanbevelingen voor scam/spamsites (maar die worden onterecht goedgekeurd door spammers zelf).
De duurdere certificaten worden gecontroleerd op een stuk meer dingen dan alleen de hostnaam. Certificaten zoals banken gebruiken, hebben (meestal) extended validatie(er wordt een stuk meer gecontroleerd, en je bent niet meer een anoniem poppetje voor de certificaat authoriteit) en een bedrijfsnaam in zich. Daarnaast geven moderne browser deze extended validatie certificaten anders weer (groene adresbalk enzovoorts), zodat een gebruiker hier wel degelijk onderscheid in kan maken. Ook hebben fatsoenlijke certificaten ook vaak een soort verzekering (financiele vergoeding voor schade).

[Reactie gewijzigd door Scorpion1984 op 20 juli 2010 19:56]

Iedereen kan een SSL certificaat aanschaffen.
Nou dat betwijfel ik toch. Kleine devellopers zullen dat niet kunnen hoor.
Vraag me niet hoeveel, maar het kost toch een fink paar centen.
dan zal het VeriSign-logo automatisch van de gecontroleerde site verdwijnen
Behalve dan natuurlijk als de website beheerder het logo moedwillig hardcoded op de pagina heeft staan.
Dan zullen er wellicht wel sancties volgen voor de betreffende beheerder.

Goeie zet.
Alleen als hij echt aangesloten is bij Verisign, en Verisign mensen aan mag klagen als ze onrechtmatig gebruik maken van het logo - en dat zal moeilijk worden als je site in China oid gehost staat.

Echter, er staat een 'verify >' tekst op het icoontje - officiŽle gebruikers zullen op dat dingetje kunnen klikken en naar de verificatiesite van Verisign gestuurd worden. Die is op zijn beurt natuurlijk ook te spoofen, maar toch. Misschien dat dat in de browser ingebouwd kan worden?
Nee, dat wordt niets. Kijk naar TPB, een groot aantal machtige bedrijven willen die down hebben, en 't lukt ze nog altijd niet. Dat is een site waarvan bekend is wie 'm opgezet hebben. Een onbekende registrant is nog moeilijker aan te klagen.
Het gebruiken van een bedrijfslogo zonder toestemming lijkt mij toch wel wel iets anders dan de TPB-situatie? Of zie ik dat verkeerd.
Nou ja, het heeft allebei met copyright te maken. En al zou het anders zijn, het blijft een geldige vraag over wat verisign denkt te doen aan een website die dit moedwillig omzeilt.
Waar je kan discussiŽren over de legaliteit van TPB zal iedere rechter het ermee eens zijn dat het onterecht gebruiken van een keurmerk van iedere soort illegaal is.
Beetje domme vraag misschien, maar een website beheerder met verkeerde bedoelingen kan prima dat logo gebruiken toch? (gewoon een image copy)
Precies daarom vind ik het ook vrij doelloos om dat logo te laten verdwijnen.

Dat de beheerder een mail krijgt, voegt wel wat toe, zo pak je namelijk de malware die door gestolen FTP gegevens en/of injectie-lekken zich hebben genesteld in legitieme websites.

Ook een "vertrouwd" dingetje in Google zou handig kunnen zijn, maar nog beter zou het zijn als er een zeer eenvoudige API komt waarmee bonafide webhosters dagelijks de reputatie van door hun gehoste domeinen even kunnen controleren.
maar nog beter zou het zijn als er een zeer eenvoudige API komt waarmee bonafide webhosters dagelijks de reputatie van door hun gehoste domeinen even kunnen controleren.
Dat zullen niet alle hosters doen. Je kunt die rol wel bij browsers leggen.
Ieder stapje is weer een goede in de richting van een veilig internet voor mensen die niet 100% weten waar ze mee bezig zijn. Goed bezig dus, Verisign!
Inderdaad een goede actie. Maar aan de andere kant zou iemand ook gewoon die logo kunnen kopieren en als image gewoon op een (kwaadaardige) site plaatsen, hoe zou je dan als consument het verschil kunnen zien?
_/-\o_ Hulde aan Verisign _/-\o_ . Erg goed dat zo'n bedrijf dit soort verantwoordelijkheid naar zich toetrekt.
Zou eigenlijk helemaal mooi zijn als iets dergelijks voor alle websites verplicht zou worden gesteld, dan kan je malware e.d. alleen nog binnenkrijgen door vage emails te openen of dingen te downloaden die niet uit een betrouwbare bron komen (of ben ik nu bezig dingen vreselijk over het hoofd te zien?).
"verantwoordelijkheid naar zich toetrekt"??

..Verisign is no way verantwoordelijk voor de content.

Wel heeft het hiermee een USP in handen..

Overigens wil ik in zo'n geval niet dat het logo verdwijnt; eindgebruikers zijn te onbekend met de rol van "Verisign" (als ze er ooit van gehoord hebben, heb je al mazzel). Ik zou meer voor een "Verisign heeft geconstateerd dat deze prutsers malware op de website hebben staan"-knop voelen..

...maarja, een site die duidelijk aangeeft crap te bevatten, daar wil Verisign haar naam natuurlijk niet aangekoppeld hebben... :):)

Oftewel.. "verantwoordelijkheid"?

..It's all aout the money!
(niets mis mee, maar besef het je wel gewoon ff..) :)
...?

Je miste gewoon de primaire bedoelingen van Verisign.. :)

Verisign wil gewoon een zo groot mogelijk marktaandeel en geld verdienen. Daar is verder niets mis mee. Er werken duizenden mensen en die worden nu eenmaal niet betaald van veantwoordelijkheidgevoelens :)
Ik heb hier niks anders op te melden dan: ABOUT TIME!

dit is erg mooi, ik heb hier gewoon niks op aan te melden :P

denk dat dit geen negatieve kanten heeft?
inderdaad ik vind dat alle hosters gewoon hun websites moeten scannen.
des te eerder zijn we van diie spyware af angezien het nogal onmogelijk gemaakt word als iedere host gaat scannen op de servers.

en nee zit niet direct een merkbaar negatief effect aan het kan zijn dat je een paar seconde tot een minuut mischien geen toegang tot een groot bestand heb als ie op dat moment gescanned word maar die kans is klein natuurlijk zeker als ze dit gewoon snachts doen.
's nachts :D op internet :+
Voor sommige sites werkt dat natuurlijk, maar in principe is er geen dag en nacht op internet.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True