Pleegt Mozilla smaad met haar anti-http-waarschuwing?

| AE 9329 | Ondernemingsvrijheid, Uitingsvrijheid | 19 reacties

Een beheerder van de website Oil and Gas International heeft tegenover Mozilla geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. Dat las ik bij Security.nl vorige week. De website biedt gebruikers namelijk een inlogveld via http aan en sinds kort waarschuwt Firefox hiervoor. Zou een claim wegens smaad hier kans maken?

Recent heeft Mozilla, de organisatie achter browser Firefox, actie genomen om website-eigenaren te stimuleren om beveiligde verbindingen (https) te gebruiken voor het insturen van informatie. Dit zou de veiligheid op het web moeten verhogen.

Sites als deze wisten daar waarschijnlijk niet van en zijn dus onaangenaam verrast als browsers ineens “Connection is Not Secure” en “Logins entered on this page could be compromised” zeggen tegen bezoekers. Maar zou je dat smaad kunnen noemen?

De wet (art. 261 Strafrecht) definieert smaad als volgt:

Hij die opzettelijk iemands eer of goede naam aanrandt, door telastlegging van een bepaald feit, met het kennelijke doel om daaraan ruchtbaarheid te geven, wordt, als schuldig aan smaad, gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie. … Noch smaad, noch smaadschrift bestaat voor zover de dader heeft gehandeld tot noodzakelijke verdediging, of te goeder trouw heeft kunnen aannemen dat het te last gelegde waar was en dat het algemeen belang de telastlegging eiste.

Mozilla bazuint dus rond in het openbaar dat een website onveilig is, en baseert dat op het feit dat bepaalde formulieren onveilig worden verstuurd. Je kunt je afvragen in hoeverre dat als wáár te bestempelen is. Het is niet echt een feitelijke analyse, maar meer een mening over hoe veiligheid op het web te verhogen. Die mening is natuurlijk wel breed gedragen, dus in die zin zou je hem ‘waar’ kunnen noemen.

Minstens zo belangrijk is dat het algemeen belang de telastlegging eiste. Het is niet zo dat de waarheid dus nóóit smaad kan zijn. Een waar maar zeer genânt oud triviaal feitje rondbazuinen kan dus smaad opleveren, omdat er dan geen of te weinig algemeen belang is bij het vertellen. Smaad is een belangenafweging, geen binaire waar/onwaar kwestie.

Veiligheid op het web is een onderwerp van algemeen belang, die stelling durf ik wel aan. En dat formulieren beveiligd moeten zijn, die zie ik ook nog wel. Dus om dan als browser mensen hier op te attenderen, dat lijkt mij dan in het algemeen belang.

De tekst waarmee ze dat doen, is redelijk neutraal. Hoewel ik bij “Logins entered on this page could be compromised” dan wel een beetje dubbel gevoel krijgt: hoezo ‘could’, waar hangt dat dan van af? Een naïeve lezer zou dit kunnen opvatten als slechts een kleine slag om de arm in plaats van een “het is in theorie mogelijk”. Maar afgezien daarvan zie ik geen probleem met wat Mozilla doet.

Arnoud

Mag Kliksafe https verkeer openbreken?

| AE 6515 | Security | 11 reacties

kliksafeVia Twitter kreeg ik de vraag:

Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan?

Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter – dat alle opgevraagde informatie scant die niet van een whitelisted site afkomstig is. (Geblackliste sites kun je natuurlijk niets van opvragen.)

Een handige internetter kan natuurlijk een encrypted verbinding opzetten en zo een dergelijk filter omzeilen. Er valt weinig te contentfilteren als je de content niet kunt lezen. Vandaar dat Kliksafe een https-filter heeft ontwikkeld. Dit filter werkt als een man-in-the-middle: de browser denkt dat hij met de bank of Youtube verbinding maakt, maar in feite gebeurt dat met het filter. Hierbij wordt een sleutel gebruikt die het filter kent, zodat het filter het verkeer kan openmaken. Vervolgens zet het filter een verbinding met bank of Youtube op, waarbij het zich voordoet als de browser. De site heeft dus geen idee dat er iemand tussen zit. Overigens staan banksites op de witte lijst, dus hun verkeer blijft versleuteld.

Het openbreken van dergelijk verkeer is al langer bekend. Bedrijven gebruiken dit nog wel eens om uitgaand werknemersverkeer te kunnen inspecteren op strijd met het bedrijfsbeleid. Of dat mag vraag ik me zeer af. Echter, omdat het decrypten hier gebeurt op speciaal verzoek van de klant zelf, lijkt me er weinig mis mee. Net zoals een slotenmaker best op mijn verzoek mijn voordeur mag openbreken.

Iets dubieuzer wordt het als het gaat om een verzoek van de klant maar niet om zijn eigen verkeer. De internetverbinding kan binnenshuis worden gedeeld, en zo zouden ouders het encrypted internetverkeer van hun kinderen kunnen lezen. Dat voelt ergens toch een tikje gek, net als een slotenmaker inhuren om de afgesloten kast in de kinderkamer open te maken (of een securitybedrijf om een verborgen camera in die kamer op te hangen). Maar dat lijkt me toch vooral een keuze van die klant, en niet iets waar je Kliksafe op kunt aankijken.

Arnoud

Moet mijn contactformulier SSL-beveiligd zijn?

| AE 5261 | Privacy, Security | 28 reacties

https-secure-secuur-netwerkEen lezer vroeg me:

Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?

Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang. Een SSL-beveiliging is de meest voor de hand liggende en simpelste manier om dit te doen, vandaar dat vrijwel iedereen dat middel toepast bij bestel- en contactformulieren.

De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan.

Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen.

Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?

Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?

Arnoud

Nokia ontsleutelt SSL-verkeer van gebruikers

| AE 4956 | Security | 32 reacties

De Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn geïnformeerd. Dat schreef Webwereld vrijdag. Met die proxserver versnellen ze het verkeer naar mobiele apparaten, wat op zich handig is, maar dat bij versleuteld verkeer doen is opmerkelijk: alsof de taxichauffeur je… Lees verder