Banner Vuurwerkmania - Vuurwerkmania.nl
Weergegeven resultaten: 1 t/m 4 van 4
  1. #1
    VWC-Lid
    Geregistreerd
    26 oktober 2016
    Locatie
    Oaveriessel
    Berichten
    77
    Thanks
    113
    31 waarderingen in 21 posts

    Exclamation Sites m.b.t. vuurwerk slecht beveiligd (forums, webshops)

    ---

    Too Long Didn't Read (TLDR) versie:

    Als je een websitebeheerder bent en je slaat 'gevoelige' gegevens van gebruikers op. Of je hebt te maken met o.a. betalingsgegevens hang dan gewoon een certificaat aan je website. Waarom?
    • Bescherming tegen sniffers
    • Bescherming tegen MitM-attacks (Man-in-the-Middle)
    • Algemene veiligheid van je gebruikers gegevens **

    ** Persoonlijk voel ik me eerder op me gemak als ik weet dat site waar ik op zit gebruik maakt van HTTPS.

    Argumenten als het is duur of het heeft een performance impact wegen gewoon niet op tegen de voordelen van een HTTPS website. (Een EV SSL Cert is duur, maar een standaard certificaat kost de hele wereld niet.)

    Overweeg je toch een certificaat aan te schaffen voor je website denk aan het volgende:
    • TLS1.2
    • SHA-256+
    • Webshops: EV SSL Cert
    • Forums: Standard SSL Cert zou kunnen voldoen


    Wil je meer informatie en/of hele specifieke informatie stuur dan even een prive-bericht.

    Waar het kan probeer ik het zo simpel mogelijk uit te leggen, maar dit is meer bedoeld voor de beheerders van websites. Als er verdere inhoudelijke vragen zijn dan hoor ik dit graag via evt. een PM. Verder moet ik vermelden dat ik theoretisch aangelegd ben en nogal vaak dingen onnodig complex maak. De meeste mensen zijn toch meer visueel ingesteld en daarom raad ik mede aan te kijken naar enkele YouTube-video's waarbij dit topic leuk wordt uitgebeeld.

    ---

    'Te veel tekst'-versie:


    Ter zake:
    Het is mij opgevallen dat er erg weinig vuurwerk-gerelateerde websites gebruik maken van een TLS (of SSL) certificaat. Vele vuurwerkwebsites zoals forums en webshops verzamelen gebruikersdata:
    - Forums:
    o Gebruikersnamen (lees: nickname)
    o Wachtwoorden
    o Emailadressen
    o IP-adressen
    o Evt. bepaalde telemetrie data
    - Vuurwerk webshops:
    o Gebruikersnamen (lees: nickname)
    o Wachtwoorden
    o Emailadressen
    o NAW gegevens
    o Adresgegevens
    o IP-adressen
    o 'andere data'

    Het verzamelen van de bovenstaande data kan op verschillende manier:
    - Registeren op een website
    - Bestellen van producten waarbij je o.a. adresgegevens moet invullen
    - Etc.

    Voorbeeld bestelling plaatsen:
    1) We hebben een leuke cakebox gevonden en voegen deze toe aan de winkelwagen.
    2) We gaan nu naar de winkelwagen en klikken op afrekenen.
    3) Nu moeten we registreren.
    4) We vullen onze NAW gegevens in, emailadres, gebruikersnaam en wachtwoord en versturen deze informatie.
    5) We vinden een activatiemail in onze mailbox en klikken op deze.
    6) We kunnen nu verder met afrekenen.
    7) We kiezen een betaalmethode en worden door verwezen naar onze bank.
    8) We ronden de betaling af en worden teruggestuurd naar de website met een bedankje + ordernummer.

    Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan. Een kwaadwillende kan dus o.a. het volgende onderscheppen;
    - Je NAW gegevens
    - Je e-mailadres en wachtwoord
    Dit noemen we ook wel een packet-sniffing. In feite luistert iemand met je mee. Dit is niet erg prettig, maar over het algemeen zal je er geen weet van hebben. De meeste personen die packet-snifffen doen niets of zeer weinig met deze informatie, maar! Dergelijke packet-snifffing kan ook een verkenning zijn voor iemand die wel kwaadwillige ideeën heeft.

    Als men kwaadwillende intenties heeft kan er ook een zogenoemde Man-in-the-Middle aanval plaatsvinden. Waarbij de aanvaller als ware tussen het dataverkeer in gaat zitten en data zitten aanpassen. Denk aan o.a. de volgende scenario:
    - Jij klikt op afrekenen en wordt naar een phisingsite gebracht waar jij je betaalgegevens invoert.
    - Je krijgt een error "Er is iets misgegaan" vervolgens wordt je doorgeleid naar de 'echte' website.
    Het bovenstaande scenario komt helaas vaker voor en zal niet gauw voor vraagtekens zorgen mits je er goed op let. Als dit gebeurd kun je de volgende dag of (liggende aan of het een bot is) zelfs de volgende paar minuten rare activiteit verwachten op je rekening.

    Leuk, maar wat doen we hier tegen?
    Bovenstaand noemde ik het volgende: "Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan."

    Was er maar een manier om alle punten "onleesbaar" te maken voor eventuele kwaadwilligen. Nou gelukkig is dat er wel. Websites welke gebruik maken van HTTPS (ofwel een certificaat) hebben als meest gunstige voordeel dat alle data op deze websites onleesbaar over het internet gaan. Een kwaadwillende ziet alleen maar vele rare tekens over de lijn gaan. De kwaadwillende zal dus bij het gebruik maken van "packet-sniffing" niets zien.

    Voorbeeld:


    De bovenstaande Man-in-the-Middle aanval zal daarbij ook niet werken -– mits je mailprovider en bankprovider gebruik maken van https. Uit de dikke duim: ik dacht dat bankproviders zelfs wettelijke verplichtingen hebben om hieraan te voldoen, maar goed.

    Dus HTTPS toevoegen en we zijn klaar toch?
    Nope. HTTPS wordt als veilig ervaren omdat het dataverkeer tussen browser en website 'onleesbaar' de lijn (lees: het internet) overgaat. Het onleesbaar maken van verkeer tussen browser en website (dan wel webserver) wordt ook wel encryptie genoemd. Of wel het versleutelen van gegevens/informatie. Dit wordt gedaan middels zogenoemde SSL certificaten. De sterkte van encryptie van deze SSL certificaten bepaald de veiligheidsniveau van je website. Er zijn voorbeelden te noemen van zwakke SSL certificaten waarbij de encryptiemethode makkelijk te kraken is.

    Differentiatie HTTP v HTTPS:
    Veilige sites:


    Onveilige sites:


    Bij het eerste plaatje zie je wel HTTPS staan, maar toch is deze onveilig. Dit komt omdat dit een niet-vertrouwde en/of niet-geverifieerde certificaat betreft. Pas op met wat je invult op zulke sites.
    Laatst gewijzigd door Cristaline; 18 november 2017 om 14:21

  2. Deze 4 gebruikers waarderen Cristaline voor het bericht:


  3. #2
    VWC-Lid blackmoon's schermafbeelding
    Geregistreerd
    2 december 2013
    Berichten
    1.175
    Thanks
    247
    855 waarderingen in 370 posts
    Heel erg duidelijk verwoord! Het viel mij bij sommige webshops al op dat deze geen SSL gebruiken of een onjuiste configuratie hebben.

    Met name een webshop waar jij je persoonlijke gegevens opslaat zou eigenlijk verplicht SSL moeten gebruiken.

  4. Deze gebruiker waardeert blackmoon voor het bericht:


  5. #3
    VWC-Lid hardcore0438's schermafbeelding
    Geregistreerd
    23 januari 2010
    Locatie
    Rotterdam
    Berichten
    2.243
    Thanks
    799
    1.516 waarderingen in 528 posts
    Super verhaal. Sterker nog, het is voor een website verplicht om persoonsgegevens te beveiligen, vastgelegd in de wet bescherming persoonsgegevens. Ook zie je inderdaad dat erg veel vuurwerksite's pas overschakelen naar https op het moment dat je naar de betaalpagina gaat. het verbaasd mij daarom ook dat de bekende forum's niet met https werken.
    ffffffffff

  6. Deze gebruiker waardeert hardcore0438 voor het bericht:


  7. #4
    VWC-Lid
    Geregistreerd
    26 oktober 2016
    Locatie
    Oaveriessel
    Berichten
    77
    Thanks
    113
    31 waarderingen in 21 posts
    Citaat Oorspronkelijk geplaatst door hardcore0438 Bekijk bericht
    Super verhaal. Sterker nog, het is voor een website verplicht om persoonsgegevens te beveiligen, vastgelegd in de wet bescherming persoonsgegevens. Ook zie je inderdaad dat erg veel vuurwerksite's pas overschakelen naar https op het moment dat je naar de betaalpagina gaat. het verbaasd mij daarom ook dat de bekende forum's niet met https werken.
    Klopt helemaal.

    Uiteraard kun je verder stellen dat je er met HTTPS nog niet bent. Je website (lees webshop of forum) kan namelijk verder nog vatbaar zijn voor o.a. (het meest voornaamste) SQL-injection aanvallen. Waarbij een aanvaller in feite je hele database - alle tabellen en je data in deze tabellen - dumpt. De aanvaller heeft dan alle gebruikers gegevens.

    De reden dat dit voorkomt is slechte development. Het mag eigenlijk niet meer voorkomen, maar alsnog gebeurd het te vaak. Kijk naar: https://haveibeenpwned.com een site waarin je kunt kijken of je account (gebruikersnaam + wachtwoord) 'gehackt' is. Het meeste van data welke hierin staat komt uit dumps verkregen d.m.v. SQL injecties. (Andere manieren zijn toegang verschaffen tot CMS of wel admin portalen door dictionary attacks / maar ook dmv sniffing.)

    Een hele informatieve video m.b.t. SQL injecties is deze:


    Verder denken developers vaak dat je jezelf in kunt dekken door de wachtwoorden en betalingsgegevens versleuted (lees: gehashed) op te slaan. Dit is erg goed, maar is wel sterk afhankelijk van de sterkte van je hash. Een aanvaller kan anders gewoon op bepaalde websites bijvoorbeeld bij MD5-hashes de hash converten naar text. (Sites zoals https://hashkiller.co.uk/md5-decrypter.aspx )

  8. Deze 2 gebruikers waarderen Cristaline voor het bericht:


Regels voor berichten

  • Je mag geen nieuwe discussies starten
  • Je mag niet reageren op berichten
  • Je mag geen bijlagen versturen
  • Je mag niet je berichten bewerken
  •