95% van de HTTPS servers zijn kwetsbaar voor MITM-aanvallen

  1. 18 mrt 2016
  2. 0 reacties

encryptie

HTTPS wordt op steeds grotere schaal gebruikt. Hierbij wordt de verbinding tussen een server en de machine van een eindgebruiker versleuteld om te voorkomen dat deze verbinding kan worden afgeluisterd. In de praktijk laten veel beheerders hierbij echter steken vallen. Maar liefst 95% van de HTTPS servers blijkt namelijk kwetsbaar voor eenvoudige man-in-the-middle (MITM) aanvallen.

Dit meldt beveiligingsbedrijf Netcraft op basis van eigen onderzoek. Veel servers die HTTPS hebben omarmd maken geen gebruik van HTTP Strict Transport Security (HSTS). HSTS zorgt ervoor dat servers uitsluitend via HTTPS worden bezocht. Indien een gebruiker in de adresbalk van zijn webbrowser het protocol HTTP gebruikt wordt toch het HTTPS protocol gebruikt.

Netcraft stelt dat iedere server die HTTPS gebruikt, maar geen HSTS eenvoudig aangevallen kan worden met een MITM aanval. Deze servers maken het namelijk mogelijk een onbeveiligde HTTP-verbinding op te zetten, die vervolgens gekaapt kan worden. Ondanks dit risico maakt slechts 5% van de servers die HTTPS toepassen gebruikt van HSTS. Netcraft stelt dat er geen reden is HTST niet te implementeren, aangezien dit geen praktische nadelen oplevert.

Meer over
Lees ook
Gegevens van 1.000 Telfort-klanten op straat door malafide app

Gegevens van 1.000 Telfort-klanten op straat door malafide app

De gegevens van ruim duizend Telfort-klanten liggen op straat nadat een cybercrimineel hen met een nepapp voor Windows Phone wist te misleiden. Dit blijkt uit onderzoek van de Gelderlander. De app 'Abonnement Status' is in de Windows Store en is voorzien van het officiële logo van Telfort. De app lijkt hierdoor voor onoplettende gebruikers een ec1

Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Cisco maakt bekend dat Edwin Prinsen is benoemd tot Managing Director van Cisco Nederland. Prinsen volgt per 15 maart 2014 Coks Stoffer op, die het bedrijf in 2013 verliet. Prinsen is sinds oktober 2009 Managing Director van Imtech ICT Nederland, een van de grootste Europese technische dienstverleners op het gebied van ICT, elektrotechniek en wer1

'NSA kan offline systemen op kilometers afstand afluisteren'

'NSA kan offline systemen op kilometers afstand afluisteren'

De Amerikaanse inlichtingendienst NSA gebruikt radiogolven om systemen die niet met internet zijn verbonden te kunnen hacken. De onthulling bewijst opnieuw dat het offline houden van systemen geen garantie is voor een veilig systeem. The New York Times meldt op basis van NSA-documenten dat het programma voor het afluisteren van offline systemen d1