---
Too Long Didn't Read (TLDR) versie:
Als je een websitebeheerder bent en je slaat 'gevoelige' gegevens van gebruikers op. Of je hebt te maken met o.a. betalingsgegevens hang dan gewoon een certificaat aan je website. Waarom?
** Persoonlijk voel ik me eerder op me gemak als ik weet dat site waar ik op zit gebruik maakt van HTTPS.
Argumenten als het is duur of het heeft een performance impact wegen gewoon niet op tegen de voordelen van een HTTPS website. (Een EV SSL Cert is duur, maar een standaard certificaat kost de hele wereld niet.)
Overweeg je toch een certificaat aan te schaffen voor je website denk aan het volgende:
Wil je meer informatie en/of hele specifieke informatie stuur dan even een prive-bericht.
Waar het kan probeer ik het zo simpel mogelijk uit te leggen, maar dit is meer bedoeld voor de beheerders van websites. Als er verdere inhoudelijke vragen zijn dan hoor ik dit graag via evt. een PM. Verder moet ik vermelden dat ik theoretisch aangelegd ben en nogal vaak dingen onnodig complex maak. De meeste mensen zijn toch meer visueel ingesteld en daarom raad ik mede aan te kijken naar enkele YouTube-video's waarbij dit topic leuk wordt uitgebeeld.
---
'Te veel tekst'-versie:
Ter zake:
Het is mij opgevallen dat er erg weinig vuurwerk-gerelateerde websites gebruik maken van een TLS (of SSL) certificaat. Vele vuurwerkwebsites zoals forums en webshops verzamelen gebruikersdata:
- Forums:
Het verzamelen van de bovenstaande data kan op verschillende manier:
- Registeren op een website
- Bestellen van producten waarbij je o.a. adresgegevens moet invullen
- Etc.
Voorbeeld bestelling plaatsen:
Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan. Een kwaadwillende kan dus o.a. het volgende onderscheppen;
Als men kwaadwillende intenties heeft kan er ook een zogenoemde Man-in-the-Middle aanval plaatsvinden. Waarbij de aanvaller als ware tussen het dataverkeer in gaat zitten en data zitten aanpassen. Denk aan o.a. de volgende scenario:
Leuk, maar wat doen we hier tegen?
Bovenstaand noemde ik het volgende: "Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan."
Was er maar een manier om alle punten "onleesbaar" te maken voor eventuele kwaadwilligen. Nou gelukkig is dat er wel. Websites welke gebruik maken van HTTPS (ofwel een certificaat) hebben als meest gunstige voordeel dat alle data op deze websites onleesbaar over het internet gaan. Een kwaadwillende ziet alleen maar vele rare tekens over de lijn gaan. De kwaadwillende zal dus bij het gebruik maken van "packet-sniffing" niets zien.
Voorbeeld:
De bovenstaande Man-in-the-Middle aanval zal daarbij ook niet werken -– mits je mailprovider en bankprovider gebruik maken van https. Uit de dikke duim: ik dacht dat bankproviders zelfs wettelijke verplichtingen hebben om hieraan te voldoen, maar goed.
Dus HTTPS toevoegen en we zijn klaar toch?
Nope. HTTPS wordt als veilig ervaren omdat het dataverkeer tussen browser en website 'onleesbaar' de lijn (lees: het internet) overgaat. Het onleesbaar maken van verkeer tussen browser en website (dan wel webserver) wordt ook wel encryptie genoemd. Of wel het versleutelen van gegevens/informatie. Dit wordt gedaan middels zogenoemde SSL certificaten. De sterkte van encryptie van deze SSL certificaten bepaald de veiligheidsniveau van je website. Er zijn voorbeelden te noemen van zwakke SSL certificaten waarbij de encryptiemethode makkelijk te kraken is.
Differentiatie HTTP v HTTPS:
Veilige sites:
Onveilige sites:
Bij het eerste plaatje zie je wel HTTPS staan, maar toch is deze onveilig. Dit komt omdat dit een niet-vertrouwde en/of niet-geverifieerde certificaat betreft. Pas op met wat je invult op zulke sites.
Too Long Didn't Read (TLDR) versie:
Als je een websitebeheerder bent en je slaat 'gevoelige' gegevens van gebruikers op. Of je hebt te maken met o.a. betalingsgegevens hang dan gewoon een certificaat aan je website. Waarom?
- Bescherming tegen sniffers
- Bescherming tegen MitM-attacks (Man-in-the-Middle)
- Algemene veiligheid van je gebruikers gegevens **
** Persoonlijk voel ik me eerder op me gemak als ik weet dat site waar ik op zit gebruik maakt van HTTPS.
Argumenten als het is duur of het heeft een performance impact wegen gewoon niet op tegen de voordelen van een HTTPS website. (Een EV SSL Cert is duur, maar een standaard certificaat kost de hele wereld niet.)
Overweeg je toch een certificaat aan te schaffen voor je website denk aan het volgende:
- TLS1.2
- SHA-256+
- Webshops: EV SSL Cert
- Forums: Standard SSL Cert zou kunnen voldoen
Wil je meer informatie en/of hele specifieke informatie stuur dan even een prive-bericht.
Waar het kan probeer ik het zo simpel mogelijk uit te leggen, maar dit is meer bedoeld voor de beheerders van websites. Als er verdere inhoudelijke vragen zijn dan hoor ik dit graag via evt. een PM. Verder moet ik vermelden dat ik theoretisch aangelegd ben en nogal vaak dingen onnodig complex maak. De meeste mensen zijn toch meer visueel ingesteld en daarom raad ik mede aan te kijken naar enkele YouTube-video's waarbij dit topic leuk wordt uitgebeeld.
---
'Te veel tekst'-versie:
Ter zake:
Het is mij opgevallen dat er erg weinig vuurwerk-gerelateerde websites gebruik maken van een TLS (of SSL) certificaat. Vele vuurwerkwebsites zoals forums en webshops verzamelen gebruikersdata:
- Forums:
o Gebruikersnamen (lees: nickname)
o Wachtwoorden
o Emailadressen
o IP-adressen
o Evt. bepaalde telemetrie data
- Vuurwerk webshops:o Wachtwoorden
o Emailadressen
o IP-adressen
o Evt. bepaalde telemetrie data
o Gebruikersnamen (lees: nickname)
o Wachtwoorden
o Emailadressen
o NAW gegevens
o Adresgegevens
o IP-adressen
o 'andere data'
o Wachtwoorden
o Emailadressen
o NAW gegevens
o Adresgegevens
o IP-adressen
o 'andere data'
Het verzamelen van de bovenstaande data kan op verschillende manier:
- Registeren op een website
- Bestellen van producten waarbij je o.a. adresgegevens moet invullen
- Etc.
Voorbeeld bestelling plaatsen:
1) We hebben een leuke cakebox gevonden en voegen deze toe aan de winkelwagen.
2) We gaan nu naar de winkelwagen en klikken op afrekenen.
3) Nu moeten we registreren.
4) We vullen onze NAW gegevens in, emailadres, gebruikersnaam en wachtwoord en versturen deze informatie.
5) We vinden een activatiemail in onze mailbox en klikken op deze.
6) We kunnen nu verder met afrekenen.
7) We kiezen een betaalmethode en worden door verwezen naar onze bank.
8) We ronden de betaling af en worden teruggestuurd naar de website met een bedankje + ordernummer.
2) We gaan nu naar de winkelwagen en klikken op afrekenen.
3) Nu moeten we registreren.
4) We vullen onze NAW gegevens in, emailadres, gebruikersnaam en wachtwoord en versturen deze informatie.
5) We vinden een activatiemail in onze mailbox en klikken op deze.
6) We kunnen nu verder met afrekenen.
7) We kiezen een betaalmethode en worden door verwezen naar onze bank.
8) We ronden de betaling af en worden teruggestuurd naar de website met een bedankje + ordernummer.
Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan. Een kwaadwillende kan dus o.a. het volgende onderscheppen;
- Je NAW gegevens
- Je e-mailadres en wachtwoord
Dit noemen we ook wel een packet-sniffing. In feite luistert iemand met je mee. Dit is niet erg prettig, maar over het algemeen zal je er geen weet van hebben. De meeste personen die packet-snifffen doen niets of zeer weinig met deze informatie, maar! Dergelijke packet-snifffing kan ook een verkenning zijn voor iemand die wel kwaadwillige ideeën heeft. - Je e-mailadres en wachtwoord
Als men kwaadwillende intenties heeft kan er ook een zogenoemde Man-in-the-Middle aanval plaatsvinden. Waarbij de aanvaller als ware tussen het dataverkeer in gaat zitten en data zitten aanpassen. Denk aan o.a. de volgende scenario:
- Jij klikt op afrekenen en wordt naar een phisingsite gebracht waar jij je betaalgegevens invoert.
- Je krijgt een error "Er is iets misgegaan" vervolgens wordt je doorgeleid naar de 'echte' website.
Het bovenstaande scenario komt helaas vaker voor en zal niet gauw voor vraagtekens zorgen mits je er goed op let. Als dit gebeurd kun je de volgende dag of (liggende aan of het een bot is) zelfs de volgende paar minuten rare activiteit verwachten op je rekening. - Je krijgt een error "Er is iets misgegaan" vervolgens wordt je doorgeleid naar de 'echte' website.
Leuk, maar wat doen we hier tegen?
Bovenstaand noemde ik het volgende: "Bij een standaard onbeveiligde HTTP website kunnen we behalve bij punt 5 en punt 7 alles leesbaar over de lijn zien gaan."
Was er maar een manier om alle punten "onleesbaar" te maken voor eventuele kwaadwilligen. Nou gelukkig is dat er wel. Websites welke gebruik maken van HTTPS (ofwel een certificaat) hebben als meest gunstige voordeel dat alle data op deze websites onleesbaar over het internet gaan. Een kwaadwillende ziet alleen maar vele rare tekens over de lijn gaan. De kwaadwillende zal dus bij het gebruik maken van "packet-sniffing" niets zien.
Voorbeeld:
De bovenstaande Man-in-the-Middle aanval zal daarbij ook niet werken -– mits je mailprovider en bankprovider gebruik maken van https. Uit de dikke duim: ik dacht dat bankproviders zelfs wettelijke verplichtingen hebben om hieraan te voldoen, maar goed.
Dus HTTPS toevoegen en we zijn klaar toch?
Nope. HTTPS wordt als veilig ervaren omdat het dataverkeer tussen browser en website 'onleesbaar' de lijn (lees: het internet) overgaat. Het onleesbaar maken van verkeer tussen browser en website (dan wel webserver) wordt ook wel encryptie genoemd. Of wel het versleutelen van gegevens/informatie. Dit wordt gedaan middels zogenoemde SSL certificaten. De sterkte van encryptie van deze SSL certificaten bepaald de veiligheidsniveau van je website. Er zijn voorbeelden te noemen van zwakke SSL certificaten waarbij de encryptiemethode makkelijk te kraken is.
Differentiatie HTTP v HTTPS:
Veilige sites:
Onveilige sites:
Bij het eerste plaatje zie je wel HTTPS staan, maar toch is deze onveilig. Dit komt omdat dit een niet-vertrouwde en/of niet-geverifieerde certificaat betreft. Pas op met wat je invult op zulke sites.
Comment