HTTP vs. HTTPS

Status
Niet open voor verdere reacties.

PhilipV

Beheerder
Forumleiding
Admin
Iedereen weet ondertussen dat een "https:"-verbinding een beveiligde verbinding is, en een "http:" niet ...
Maar dit slaat enkel op de verbinding. Niet op de server of de bedoelingen van de operator die de server heeft geinstalleerd en gebruikt.

Wat mag je van een beveiligde verbinding wel verwachten / veronderstellen :
  1. dat de server wel degelijk is, wie hij beweert te zijn qua naamgeving, domein, etc. Het geinstalleerde certificaat is zeker afgeleverd voor die welbepaalde server waar je verbinding mee maakt. Maar dat is nog géén absolute veiligheid (zie verder) ;
  2. dat je verbinding en dataverkeer tussen je PC en de server enkel en alleen door die kan opgevangen, gedecrypteerd worden en niet onderweg 'afgeleid' of 'afgevangen' wordt. Is dat absolute veiligheid over dit aspect ? Nee, hackers kunnen véél maar een gelegenheidsluistervink zal zeker niet zomaar kunnen meelezen, dat is zeker. Banken vb. die met deze beveiligde verbindingen werken bouwen bovendien nog héél wat extra-encryptie, beveiligingen in. (2-factor auth. / hoogwaardige encryptie / etc... maar daarover ga ik hier niet uitweiden - ben overigens niet dé expert daaromtrent).
Wat mag je dan NIET veronderstellen :
  1. Het is niet omdat de server is, wie hij beweert te zijn dat de bedoelingen ook goed zijn. Ook phishing-experts, malware-verspreiders, etc... gebruiken ondertussen beveiligde verbindingen voor hun sites.
    Vb. Als een server beweert dat zijn naam "mijnserver" binnen een domein "onschuldig.com" is en ik verbind via een link met die server via https:protocol dan zal mijn browser dat aangeven als veilig. En mijn verbinding kan best veilig zijn ! Maar als op die server activiteiten ontplooid worden die de naam onschuldig geweld aan doen, tja ... dan is dat zo. De booswicht krijgt dan mijn informatie door op een beveiligde manier, goed van hem ! maar penibel voor mij...
  2. Een server zal vaak een 'gelijkende' maar licht verschillende naam hebben. Vb. "eservices.minfin.fgov.be" is een perfect correcte site. Maar als ik via een link in een mail naar een server klik die "eservices.minfin.fgov.be.banking-app.be.top" noemt, ook al is die verbinding misschien wel over https:, dan zit ik toch in de problemen ...
Hou dit zeker in gedachten als je klikt op links in mails en dergelijke.

TIP : hou je muiscursor even over de link zonder te klikken en je krijgt een tekstbox te zien met de inhoud of het adres van de link. Vaak is dat veelzeggend.

1604577234828.png
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan