“Niet veilig” (http ipv https) vraag

[gebruiker57]

Ik begrijp niet goed wat het gevaar is van een http website, die sommige browsers als “niet veilig” aanmerken.
Ik begrijp dat wat je via die onbeveiligde verstuurd, evt te onderscheppen is. Dat is een gevaar als wat je stuurt prive is.

Maar nu twijfel ik over het volgende:

1) Als een bezoeker een tabblad opent met een http website, en een met een https website. Is dan op deze tweede, secure website, iets mee te lezen / te hacken vanuit de onbeveiligde website? Stel er is per abuis iets verzonden via een http website, maar in een ander tabblad stond nog email of banksite open (met https). Kan dit problemen geven?

2) Of als iets word geüpload via de http website. Iets wat geen beveiligde info is. Is er dan op een of andere manier een virus te plaatsen op de gebruikte computer / tablet? Of is er dan door kwaadwillenden toegang tot andere bestanden op de computer?

3) is het bezoeken van zo’n website sowieso een gevaar voor je systeem?

Ik begrijp niet veel van deze materie! Ik wil het graag leren. Bedankt!

 

[Aar]

1) Nee, het gaat om de verbinding tussen jouw PC en de server van de website. Als dit geen beveiligde verbinding is, kan alles op de route worden onderschept via een 'Man in the middle' attack, ook MITM genoemd. Het is niet zo dat ze jouw computer kunnen benaderen of zien wat jij doet.

2) Dit staat los van virussen of malware!

3) Nee. Voor jouw systeem is het geen gevaar, wel zijn er mogelijke gevaren dat iemand op een onbeveiligde server ziet wat je naar de server verstuurt. Daarom wordt het websitebeheerders aan te raden om een groen slotje te regelen.

Even een voorbeeld om het makkelijk te illustreren:

Stel jij hebt boodschappen gedaan en je stopt alles in je tas. Iedereen ziet op straat wat je in je tas hebt zitten.
Als je nou je boodschappen vanaf de supermarkt in een tas doet die je vervolgens op slot doet, dan weet niemand wat je hebt gekocht.

 

[Senso]

Voor de goede orde:
Een beveiligde verbinding betekent niet per se dat de website zélf ook veilig is. Veel websites die op een zwarte lijst van websites staan omdat ze bijvoorbeeld virussen bevatten, hebben ook een groen slotje. Het slotje zegt alleen iets over de verbinding tussen jou en de website - niet over de website zelf.

Dus zorg altijd voor een total security programma!

 

[gast0660]

Om de kans te verkleinen dat je op foute sites terecht komt kan je o.a. McAfee WebAdvisor gebruiken.(is gratis)
LINK

 

[srpchulp]

Als de betreffende website alleen maar informatie verstrekt hoeft deze niet secure te zijn met https. Als er transacties plaatsvinden is het wel belangrijk.

Dat neemt niet weg dat als je een website hebt die alleen maar informatie verstrekt, zoals mijn eigen website, je er toch goed aan doet deze van https te voorzien, want het is niet fijn als iedereen die je website bezoekt te horen krijgt van de browser dat ie niet veilig is.

 

[Senso]

Om de kans te verkleinen dat je op foute sites terecht komt kan je o.a. McAfee WebAdvisor gebruiken.(is gratis)

Er staat gratis download, maar is het product ook gratis?

 

[gast0660]

Het product MCAfee WebAdvisor is gratis.
Je hebt nog een aantal producten Van McAfee die niet gratis zijn.

 

[bron]

Eigenlijk is https een gewone http verbinding die (met tls) wordt versleuteld. De gehele http wordt versleuteld, dus het http protocol zelf én het dataverkeer tussen de website server en website bezoeker. Https zegt dus niets over de veiligheid van een bezochte website, het zegt alleen iets over een veilige verbinding.

Je vragen.
Het maakt niet uit of je een hoeveelheid http tabbladen tegelijk met een hoeveelheid https tabbladen hebt openstaan.
Alleen bij downloaden kan je malware binnenhalen, het maakt dan niet uit of je dit via http of https doet.
Een bezoek aan een http website is geen probleem, ook niet als je tegelijk op een ander tabblad op een https website bent ingelogd.

Je zal zelf de content en de url moeten beoorden of de website veilig is. Let altijd ook op de url bij inloggen, betalen, enz.
Url https://www.img.nl/ideal en url https://www.lng.nl/ideal kunnen fake betaalsites zijn.

Een https website kan een ongeldig secure certificaat hebben en wordt dan ook als 'niet veilig' aangegeven.

 

[kenikavanbis]

De https onzin heeft een vals gevoel van veiligheid.

Bij mij is de connectie http en hierdoor alles te zien maar op login zit een sleutelsysteem dit gaat een unieke beveiliging maken.

Je moet ook verder denken dan je neus lang is vingerprint van een user is echt niet zo moeilijk om te maken (vele kunnen het niet en moeten dan veel geld betalen aan de google's en fakebooks en andere oplichters en hierdoor meer prijsgeven dan moet).

Een site zonder ads en cdn is veiliger dan met .

En dus wachtwoorden kraken bij sleutelsystemen is net iets moeilijker dan gewone systemen (je kan een juist wachtwoord geven en toch niet binnen kunnen)

dus wanneer is http niet veilig:
Als men toegang heeft tot de computer (geinfecteert is met spy en andere rotzooi)
Als uw isp (internet service provider) niet te betrouwen is (één of ander duister bedrijfje dat even snel op de markt is gekomen en meestal zeer goedkoop is)
Als u op een bedrijfsnetwerk bent of gebruik maakt van een gratis verbinding van een openstaande router. (systeembeheerders kunnen alle data inlezen , op open routers weet je niet of de persoon ook alle data die verstuurd werd ook bekeken heeft).

wat beveiligd https niet:
Niet te controleren of er een virus verstuurd word of niet.
Zal niet de data valideren en niet de site veiliger maken voor indringers.
LET OP: een certificaat heeft twee richting berekeningen dus als google zoiets aflevert kan google ten alle tijden de data die verstuurd werd terugrekenen (ook elke dief die het certificaat steelt en de dieven zijn zeer vindingrijk )(Er werd al eens een laag CA certificaat gestolen van mijn computer en werd publiek geplaatst door een sociale engenering)

En ten laatste vind ik het heel spijtig dat browser dergelijke onzin tonen (Ik vindt het de taak van de overheid zijn netwerk te beschermen . DUS: routers naar externe netwerken buiten europa en computers niet onmiddelijk benaderbaar ALS ZIJ GEEN DNS REFERENTIE HEBBEN).

 

[bron]

Bij mij is de connectie http en hierdoor alles te zien maar op login zit een sleutelsysteem dit gaat een unieke beveiliging maken.

Een tekst die bestaat uit een sleutel die in de html voor iedereen zichtbaar is met een wachtwoord die bij http voor iedereen zichtbaar is en dan wordt versleuteld in een js script die voor iedereen leesbaar is dan is dit geen beveiliging. In dit geval zou https een betere oplossing zijn.

 

[kenikavanbis]

Een tekst die bestaat uit een sleutel die in de html voor iedereen zichtbaar is met een wachtwoord die bij http voor iedereen zichtbaar is en dan wordt versleuteld in een js script die voor iedereen leesbaar is dan is dit geen beveiliging. In dit geval zou https een betere oplossing zijn.

Ik weet het komt uit de tijd van toen maar het werkt

Sleutel + wachtwoord en dan een hash komt het aardig in de buurt en als er dan maar 100 juiste sleutels kunnen afgeleverd worden per min bvb wil dat sleutel 101 niet meer als valid word gezien dus op dat momment zal een brutforce het systeem buiten range plaatsen en dus altijd foute sleutels krijgen (nadeel geen login mogelijk in die tijdspanne).

 

[gebruiker57]

Bedankt voor jullie reaties, zo leer ik elke keer iets meer

 

[bron]

@gebruiker57
Dat is mooi. Je vraag zal ergens hierboven beantwoord zijn denk ik.

@kenikavanbis
Het concept zal vroeger aardig geweest zijn maaar is nu te doorzichtig. Omdat je http gebruikt kan iemand op de verbinding meekijken wat naam en wachtwoord is van iemand die wel kan inloggen. Dan is het een kwestie van wachtwoord + sleutel achter elkaar zetten en door het scriptje heenhalen en dan is die persoon ingelogd. Daar is 1 poging voor nodig zonder brut force. Dit voorkom je met https omdat iemand dan niet kan meekijken op de verbinding.

De mooiste oplossing is uiteraard de 'two-factor' inlog methode.
Voorbeeld: iemand logt in, krijgt dan een sms code op zijn telefoon, en moet ook die code invoeren als verificatie.