Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 218 reacties

Tweakers is overgestapt op volledig https. Dat betekent dat je nu, als het goed is, alle pagina's van Tweakers, het forum en de tweakblogs via https krijgt. Mochten we ergens iets gemist hebben, dan horen we dat natuurlijk graag in dit topic.

Waarom https?

'Wat voegt https nou eigenlijk toe voor een site als Tweakers?' is een terechte vraag. Er worden erg weinig gevoelige onderwerpen behandeld en het zal weinig kwaad kunnen als iemand aan de hand van je verkeer kan zien dat je een Android- of iPhone-fan bent.

Beveiliging

De s in https staat voor 'secure' en het zorgt inderdaad voor een beveiligde verbinding. Let daarbij wel op dat dat alleen over de verbinding gaat. Onze site en jouw computer zijn door het gebruik van https niet ineens volledig hacker-proof geworden; daar zijn meer maatregelen voor nodig.

Een van de belangrijkste soorten aanvallen die met https sterk worden bemoeilijkt, is de zogenaamde 'man in the middle'-aanval. Dat lijkt op een proxy-server, maar dan met kwade bedoelingen. Daarbij zit een aanvaller tussen jou en de webserver in; naar jou toe doet hij zich voor als de webserver en naar de webserver doet hij alsof hij jou is. Ondertussen kan de aanvaller alle informatie die wederzijds wordt opgestuurd, inzien en/of aanpassen. Dit soort aanvallen is vooral gevaarlijk in situaties waarin echt iets te winnen valt, zoals een betaalopdracht bij een bank. Overigens hebben banken naast https meestal nog extra beveiligingsmaatregelen, zoals two factor authentication, om het MitM-scenario, en andere aanvallen, nog moeilijker te maken.

Bij 'gewone' websites zit het gevaar meer in het toevoegen van malafide zaken, zoals de injectie van malware of het toevoegen van eigen advertenties.Beveiligde verbinding

Gelukkig is een MitM-aanval in de praktijk vrij lastig uit te voeren. Het is op zijn minst nodig dat jouw verbinding onderschept kan worden; er moet tenslotte ergens in de netwerkverbinding toegang verkregen worden. Er is wel een bekend voorbeeld: slecht beveiligde, publieke wifi-netwerken.

Naast de versleutelde verbinding biedt https ook extra authenticatie. Je browser controleert de hostname met het certificaat dat wordt opgestuurd. Als die niet met elkaar overeenkomen, geeft het een foutmelding en weigert het de pagina te tonen. Op die manier zijn domain-spoofs, en daarmee bijvoorbeeld phishing-aanvallen, wat lastiger op te zetten.

Privacy

Bovenstaand MitM-principe is ook vanuit privacy-oogpunt gevaarlijk. De informatie hoeft tenslotte niet veranderd te worden; voor sommige doeleinden is inzien ervan voldoende. Bovendien is het ongemerkt inzien van gegevens veel makkelijker dan het ongemerkt veranderen ervan.

Ook op Tweakers komen discussies voor met meer betekenis voor je privésfeer

Het eerder genoemde voorbeeld van iPhone- of Android-fans is natuurlijk niet zo spannend, maar ook op Tweakers komen discussies voor die een stuk meer betekenis voor je privésfeer hebben dan dat. Denk aan het doorgeven van contactgegevens voor Vraag & Aanbod-advertenties, maar ook sommige discussies in het forum, zoals de discussies die gaan over hoe slecht een werkgever is. Een bericht dat vanaf het netwerk van de werkgever wordt geplaatst, kan in theorie naar de plaatser teruggeleid worden. Daar hoeft dan alleen maar de meta-informatie voor te worden bijgehouden, zoals welke urls door iemand op welk tijdstip worden opgevraagd. Met https is via dergelijke metadata nog wel te zien dat en op welk tijdstip je verbinding maakt met de servers van Tweakers, maar niet wat je dan opvroeg.

Overigens is dit vooral relevant op netwerken waarvan je de tussenstations niet helemaal vertrouwt, want dat je technisch gezien afgeluisterd kan worden, is natuurlijk nog geen garantie dat het ook gebeurt. Zelfs diegenen die niet van de goedheid van hun medemens willen uitgaan, kunnen nog hopen op de gierigheid; apparatuur om af te luisteren kost tijd om op te zetten en geld om aan te schaffen.


Door Arjen van der Meijden

- Lead Developer

In oktober 2001 begonnen met als voornaamste taak het technisch beheer van het forum. Daarna doorgegroeid tot senior developer en softwarearchitect. Nu lead developer, met een leidinggevende taak binnen het team van programmeurs en systeembeheerders van Tweakers.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True