Is https overal veilig?
Belangrijke informatie, argumenten en advies over gebruik van internet met en zonder (on)veilig http en https.
Zou jij inloggen op een pagina als je weet dat jouw wachtwoord onbeveiligd verzonden wordt? Zou jij een bestelling plaatsen als je weet dat jouw betaalgegevens onbeveiligd verwerkt worden?
“webpagina’s met wachtwoordvelden of welke creditcardgegevens verzamelen, worden per januari 2017 als “niet veilig” gemarkeerd wanneer deze webpagina’s niet beveiligd zijn met een SSL certificaat.”
Wat doet een SSL certificaat?
Een SSL certificaat werkt tweeledig:
– Het garandeert de echtheid van de website bij de bezoeker. De browser van de bezoeker zal het SSL certificaat valideren bij de uitgevende instantie. Klopt deze, dan krijgen bezoekers een groen slotje te zien. Is het certificaat ongeldig of verlopen, dan wordt vaak een rode waarschuwing weergegeven.
– De gegevens tussen de bezoeker en website worden gecodeerd uitgewisseld. Hierdoor kunnen bijvoorbeeld inloggegevens, persoonsgegevens of betaalgegevens niet onderweg afgeluisterd of gewijzigd worden.
Momenteel markeert Google deze HTTP-websites neutraal, zonder directe waarschuwing. Dit betekent dus niet per definitie dat de verbinding “veilig” is. Integendeel zelfs, websites zonder SSL certificaat vormen altijd een potentieel veiligheidsrisico voor de bezoeker.
** Let op:
* In de eerste alinea worden twee redenen gegeven zonder argumenten en zonder onderbouwing. Natuurlijk doe je dat niet. Wat bedoelt men hiermee. Bangmakerij?
* Wat doet een SSL certificaat niet?
Een certificaat laat niet zien of de eigenaar met criminele activiteiten bezig is.
Ook ik kan een certificaat aanvragen en gebruiken voor criminele activiteiten.
* In de laatste alinea wordt niet vermeld dat een http site niet per definitie onveilig is. ELKE onbekende site is een potentieel veiligheid risico, https of niet.
Dit is al minder bangmakerij, maar ook hier geen onderbouwing.
Vier reacties:
1. HTTPS ( de S van Secure ) is NIET altijd veilig. Maar wel degelijk een aanrader en een veiligere keus.
Het protocol maakt gebruik van secure tunnels.
2. HTTPS maakt een website alleen veilig door de gegevensoverdracht van browser naar server te versleutelen, verder niks.
Dus beveiligt https tegen SQL injectie en XSS?
Nee, daar moet nog steeds de programmeur voor zorgen.
3. Het heeft geen zin om een verbinding te versleutelen als je niet weet met wie je communiceert (een aanvaller of de bedoelde server).
4. Indien je HTTPS gebruikt is de verbinding encrypted. Dat wil niet per definitie zeggen dat je veilig bent.
Referrer-informatie gaat verloren als bezoekers van een HTTPS-site naar een HTTP-site doorklikken. Het klopt dat een HTTP-website dankzij de bescherming van je bezoeker door HTTPS niet het hele adres kan zien. Misschien kun je een andere URL gebruiken of de andere site bewegen ook op HTTPS over te stappen. Anders kun je op jouw webpagina instellen dat je de referrer toch mee wilt sturen.
** Let op:
De laatste zin betekent dat de site de gegevens dan via http verzend.
Mozilla
En let wel, b.v. kranten gaan geen https instellen en betalen om via internet artikelen gratis te verspreiden.
Wikipedia Wat is CDN
Incapsula
Ook hier staat de deur van beveiliging op een kier.
Wat is een phishing mail?
Stap 1 controleer de afzender
Is de afzender een @kpn.com mailadres? Dan is dit geen phishing en daarmee 100% te vertrouwen. Ga door naar stap 2.
Stap 2 controleer de links
Zet je muis op de links in de mail zonder te klikken. Je ziet dan of onder de tekst of links onderin naar welke pagina de link verwijst. Dit moet altijd een kpn.com pagina zijn. Is dit het niet? Verwijder dan direct de mail.
Stap 3 controleer de bijlage
Controleer de bijlage. Wij versturen alleen pdf’s als bijlage. Staat er een ander soort bestand in de mail? Gooi deze dan direct weg.
** Conclusie:
NOOIT persoonlijke of betaalgegevens via een browser versturen, NOOIT!!! Alleen daar waar je zeker weet dat het veilig is of als er EXTRA beveiliging is zoals bij de bank met een extra code of pas. En dàn óók nog goed opletten of het geen nepsite is van iemand die al op een of andere manier bij jouw of de site heeft ingebroken.
Er worden nog dagelijks fishing-mails beantwoord en kredietkaart gegevens gestolen en misbruikt.
Leave A Comment