Bron: Techzine
rondendron om 14:34, 6-09-2011Nu nog even verder draaien en het is alleen een probleem van de gebruikers! Kom nu toch even. Het is een probleem van ons allemaal...
rondendron om 14:34, 6-09-2011...Daar waar andere browser er duidelijk mee bezig zijn is het stil vanuit Apple. Dat is hier de constatering...
Ik verwacht dat binnen een week alle Mac's gepatcht zijn met een veiligere versie van Safari. FF en Chrome waren misschien eerder met hun updates, maar lang niet iedereen heeft de automatische updates aanstaan! Vooral nu FF elke maand een nieuwe "major release" uitbrengt, hebben veel FF gebruikers de auto update uitgezet (oa om mogelijke plug-in issues te voorkomen).
rondendron om 14:34, 6-09-2011...Wat wanneer de volgende keer 300 certificaten van Verisign vervalst blijken. Is dat dan alleen een probleem van Verisign? Nee toch. Ik hoop dat dan Safari mij een waarschuwing geeft voordat ik mijn pincode intyp...
Daarom moet de controle op root certificaten structureel anders, niet meer op browser niveau maar op OS niveau, waarbij er wellicht ook een taak voor je provider ligt. Maar ook juridisch moet er het een en ander aangepast worden. Hackers van een CA moeten jarenlange gevangenisstraffen kunnen krijgen (nu staan ze vooral bekend als internet cowboys, terwijl het ordinaire criminele maffia praktijken zijn), en bedrijven die doorgaan met technologie terwijl ze weten dat het gekraakt is, zouden miljardenboetes moeten kunnen krijgen, zodat zij dat wel uit hun hoofd laten.
Daarnaast let ik altijd heel goed op als ik ergens mijn PIN ingeef. https, slotje, url van mijn bank, ...
rondendron om 14:34, 6-09-2011...Heeft Apple hier helemaal niets mee te maken? Is het hun pakkie-an niet?...
rondendron om 14:34, 6-09-2011...Wanneer dat inderdaad zo blijkt te zijn zet ik Safari liever aan de kant en ga ik gebruik maken van een browser die zichzelf wel serieus neemt.
Ik werk meestal (80%) met FF, daarnaast gebruik ik ook Safari. Dat deed ik, en dat doe ik nog steeds.
rondendron om 16:01, 6-09-2011Dus dat de belastingdienst hier in Nederland overgaat op certificaten van een ander bedrijf is maar onzin? Ik denk van niet. Maar dat is off-topic. Punt is dat nu dit probleem wel bekend is je nog steeds niets van de kant van Apple hebt gehoord daar waar anderen wel actie ondernemen.
Welk probleem is volgens jou eigenlijk bekend? Er is tot op vandaag geen enkele aanwijzing dat er ook maar één byte aan informatie van welke site van de Nederlandse overheid dan ook op straat ligt. Ze kunnen echter geen enkel risico nemen. De certificaten zijn niet meer veilig en dat betekent vervangen.
rondendron om 15:23, 6-09-2011...En ja, natuurlijk verwacht ik dat een browser mij op alle mogelijke manieren helpt om veilig te internetten. Is dat echt zo gek?
Meestal komen patches uit op dinsdag. Dus misschien zit er wel een Safari patch in Software-update vanavond!
Google en Mozilla hadden hun fixes in een dag gemaakt. Apple heeft er wat meer tijd voor genomen. Misschien doen ze hetzelfde als Google en Mozilla, en dan valt me dat een beetje tegen van Apple. Maar misschien hebben ze een betere oplossing bedacht, of de code zo aangepast dat andere CA problemen makkelijker kunnen worden gefixt, en dat is dan een plus tov de snelle fixers.
Dus heb geduld, en kijk waar Apple mee komt!
Diginotar is gehackt. Dat is een probleem. Vandaar dat sites die Diginotar certificaten gebruiken, deze zsm moeten vervangen door andere.
Het probleem bij de bron aanpakken heet dat. Dan werkt het veilig en goed, of je nu FF of Safari gebruikt.
Je kunt 5 miljoen PC's patchen, of 50 overheids-servers. Dat laatste is minder werk, en beter controleerbaar.
(Bewerkt door MacFrankie om 16:21, 6-09-2011)
MacFrankie...Beste rondendron en adb1973, vinden jullie het zelf ook niet heel gek dat Apple weer eens de schuld krijgt van iets wat een CA heeft gedaan? OK, Apple had misschien eerder aan symptoombestrijding moeten doen en Safari moeten patchen, maar nogmaals, dit is niet een probleem van de software makers maar van de CA's!(Bewerkt door MacFrankie om 14:14, 6-09-2011)
Beste rondendron en adb1973, vinden jullie het zelf ook niet heel gek dat Apple weer eens de schuld krijgt van iets wat een CA heeft gedaan? OK, Apple had misschien eerder aan symptoombestrijding moeten doen en Safari moeten patchen, maar nogmaals, dit is niet een probleem van de software makers maar van de CA's!
(Bewerkt door MacFrankie om 14:14, 6-09-2011)
ehhh..nee... daar krijgt Apple ook niet de schuld van en het is ook geen Apple-bashen.
Wat wel een beetje gek is (en waar ik me zorgen over maak) is dat Mozilla gelijk actie heeft ondernomen door Diginotar als onveilig aan te merken en Apple helemaal niets doet.
Het gaat erom dat er een CA-gekraakt is en dat dat nieuws bekend is gemaakt, maar dat Apple daar geen actie op onderneemt terwijl anderen dat wél doen. En dus is Safari onveiliger dan andere browsers...
Als dit zo blijft zou het voor mij in ieder geval een reden zijn om Safari snel in te ruilen voor een browser zoals Firefox.
Nogmaals het gaat er hier niet om wie de schuld heeft, het gaat er om dat er snel een veilige oplossing komt.
Als de Iraanse overheid dit kan, kunnen andere (overheden) dit ook. En als de reactie van de CA vervolgens is: 'kop in het zand' en de reactie van de browsermakers ook: kop in het zand dan gaan we in de toekomst nog leuke dingen beleven op internet. Mark my words.
(Bewerkt door adb1973 om 16:59, 6-09-2011)
Bij normaal gebruik van internet is een frauduleus certificaat vervelend maar alleen aan zo'n certificaat heb je niets.Je moet ook nog op een of andere manier het internetverkeer naar een nagemaakte website zien te leiden waar je dat certificaat kunt gebruiken. Dus aan zo'n certificaat heb je alleen maar iets wanneer je het kunt gebruiken bij 'social engineering': iemand bijvoorbeeld d.m.v. een mail verlokken naar een phising site te gaan, of wanneer je -zoals de Iraanse overheid- toegang hebt tot de DNS servers. In Iran loopt al het internetverkeer via de overheidsservers.
Bij normaal internet gebruik (je eigen url's gebruiken in de browser) zul je dus geen last krijgen van een vervalst certificaat. De DigID site blijft de DigID site met het daarbij behorende certificaat. En alle dingen die je daarop doet blijven vertrouwelijk.
Nu over de rol van Apple:Safari gebruikt bij het surfen (als je tenminste deze tip hebt gevolgd) een on-line check of een certificaat nog geldig is. Dat doet Safari aan de hand van de OSCP en CLR data op internet.
Dat doet het door de certificaatnummers op een site tegen een zwarte lijst te houden en je te waarschuwen wanneer de OCSP responder meldt dat een certificaat niet meer geldig is.De bekende frauduleuze certificaten van Diginotar zijn aan deze database toegevoegd en Safari waarschuwt je dan ook netjes als er iets aan de hand is.
Er schijnt een probleem te zijn met niet-bekende certificaatnummers. Daarvan zou de OCSP responder ook een waarschuwing moeten afgeven, maar dat schijnt niet in alle gevallen te gebeuren, blijkt nu. (En dat blijkt nu pas, omdat de Diginotar hack een tamelijk bizarre is: kennelijk stond het Diginotar systeem toe om certificaten aan te maken zonder dat deze gelogd werden, een dodelijke fout in deze branche. Zie het FoxIT rapport)
De oplossing hier ligt dus niet bij Apple, maar bij de OSCP beheerders, om deze 'glitch' weg te werken.
Wat kan Apple doen?Apple zou -net als Mozilla en Google- rücksichtslos alle Diginotar certificaten kunnen blokkeren. Maar dat is waarschijnlijk niet de beste oplossing. Er zijn namelijk ook nog steeds valide Diginotar certificaten in bedrijf die niet 123 vervangen kunnen worden. Niet voor niets heeft de Nederlandse Overheid aan Microsoft gevraagd om een dergelijke block vandaag niet automatisch te patchen.
Bovendien kan het blokkeren van Diginotar een schijnoplossing zijn, omdat een heleboel Diginotar certificaten cross-signed zijn door andere CA's. En dan kan een dergelijk certificaat toch nog via een ander pad worden goedgekeurd.
Kortom, het is niet allemaal zo zwart-wit als hier soms gesteld wordt, maar ik ben -met jullie- benieuwd of Apple nog iets doet, of dat ze blijven vertrouwen op de OCSP check.
Ook lekker veilig (en ik vraag me af hoe ze dat voor elkaar krijgen).
Elk huis zijn kruis..?
Robert om 22:42, 6-09-2011En Firefox installeer 6.0.2 zonder te vragen naar de naam en wachtwoord van mijn beheerders-account (ik werk nooit in een account dat beheerders-rechten heeft).Ook lekker veilig (en ik vraag me af hoe ze dat voor elkaar krijgen).Elk huis zijn kruis..?
Wanneer FF kan installeren zonder admin ww te vragen terwijl dat wel nodig zou zijn, zou dat een lacune in OSX zijn en niet in FF. OSX moet zoiets dan tegenhouden.
Aangezien FF de eerste keer met read-write rechten voor de gebruiker geinstalleerd wordt, zoals zoveel apps, kun je updaten zonder WW omdat alleen de package contents geupdate worden.Net een update van Adium gedaan en ook geen ww in hoeven voeren.
Apple is de laatste met software patchen om Diginotar eruit te flikkeren...
PCWorld
Webwereld
Aardige quote die ook de discussie hier thematiseert:
Does It Really Matter?Sadly, the state of digital certificates is such a mess that it probably matters little either way. Legitimate companies with legitimate sites often have improper or expired certificates. Users are already jaded and conditioned to simply accept erroneous certificates and bypass browser and operating system warning messages.Even with DigiNotar certificate trust revoked, a significant percentage of users won't think twice about circumventing the security measures in place and continuing on to those fraudulent and malicious websites.Still, revoking trust is a simple fix for Apple and it will prevent at least some portion of users from being exposed to the threat from the rogue DigiNotar certificates--so step it Apple.
Sadly, the state of digital certificates is such a mess that it probably matters little either way. Legitimate companies with legitimate sites often have improper or expired certificates. Users are already jaded and conditioned to simply accept erroneous certificates and bypass browser and operating system warning messages.
Even with DigiNotar certificate trust revoked, a significant percentage of users won't think twice about circumventing the security measures in place and continuing on to those fraudulent and malicious websites.
Still, revoking trust is a simple fix for Apple and it will prevent at least some portion of users from being exposed to the threat from the rogue DigiNotar certificates--so step it Apple.
Security Update 2011-005Certificate Trust PolicyAvailable for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.1, Lion Server v10.7.1Impact: An attacker with a privileged network position may intercept user credentials or other sensitive informationDescription: Fraudulent certificates were issued by multiple certificate authorities operated by DigiNotar. This issue is addressed by removing DigiNotar from the list of trusted root certificates, from the list of Extended Validation (EV) certificate authorities, and by configuring default system trust settings so that DigiNotar's certificates, including those issued by other authorities, are not trusted.
Available for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.1, Lion Server v10.7.1
Impact: An attacker with a privileged network position may intercept user credentials or other sensitive information
Description: Fraudulent certificates were issued by multiple certificate authorities operated by DigiNotar. This issue is addressed by removing DigiNotar from the list of trusted root certificates, from the list of Extended Validation (EV) certificate authorities, and by configuring default system trust settings so that DigiNotar's certificates, including those issued by other authorities, are not trusted.
http://support.apple.com/kb/HT4920