Waarom is een slotje in de adresbalk zo belangrijk? (SSL)


09.12.2021

Waarom is zo'n slotje in je adresbalk nou zo belangrijk als je ergens inlogt? En is het eigenlijk alleen als je inlogt, of is er meer?

In deze video laat ik je het perspectief van een hacker zien, een crimineel die iets van jou wil stelen. En waarom zij zo blij zouden zijn als jij websites zonder slotje gebruikt…

Op zoek naar meer leuke Apple tips? Abonneer je op dit YouTube kanaal, kijk op https://applecoach.nl of schrijf je in voor de Apple Coach nieuwsbrief via https://applenieuwsbrief.nl !

Volledige tekst voor de video "Waarom is een slotje in de adresbalk zo belangrijk? (SSL)"

Martijn van Apple Coach hier!

Je hebt vast wel eens het advies gehoord dat je niet moet inloggen op een  website als er geen slotje staat.

En dat is op zich goed advies,  maar… Waarom eigenlijk? Wat is nou het gevaar als jij inlogt op  een website waar geen slotje staat?

Dat gevaar wil ik je hier laten zien, en  ik ga je niet alleen laten zien dat dit belangrijk is. voor websites waar je inlogt,  maar eigenlijk zelfs voor iedere website.

En dit wordt waarschijnlijk een vrij lange video, maar dat geeft mij ook de kans om het  je goed uit te leggen. En ik denk dat het goed begrijpen van het slotje, je  enorm helpt voor je online veiligheid.

En om je nu te laten zien waarom dit zo  belangrijk is gaan we even kijken op de Mac.

Dit geldt wel ook voor je iPad, je iPhone,  je Windows-computer, je Samsung, je Google, Motorola… Het maakt niet uit wat je hebt.  Dit geldt eigenlijk voor alle type computers, waarmee je op internet gaat,  waarmee je websites bezoekt.

Dus kijk gewoon even met me mee op de Mac.

We beginnen met een simpel voorbeeld. Wat  is het probleem, zelfs als jij niets invult.

En ik heb hier voor de demonstratie bewust  gezorgd dat de website example.com naar een nep-website wordt gestuurd. Dus, we openen Safari.

En dan gaan we naar https://example.com/ En het eerste wat je hier op zou moeten vallen, is dat in de adresbalk al staat aangegeven,  dat dit geen veilige verbinding is.

Er staat daar letterlijk "niet veilig".

Dit zie je tegenwoordig niet heel veel meer.

Maardit is gelijk het verschil  tussen "http", en "https".

http is het standaard "protocol", zoals dat  zo mooi heet, om websites te bezoeken. https, is bijna hetzelfde, maar die "s" staat voor  secure — het Engelse woord voor veilig.

https is dus gewoon de veilige versie van http.

Normaal zie je op deze website een Engelse  tekst staan dat dit een demo-website is.

Je kunt zelf naar example.com  gaan, en dan zul je dat zien.

Maar nu staat er "Haha! Ik heb je te  pakken. Dit is een gehackte website." Nu kun je je voorstellen dat iemand  dit zou doen met een andere website, bijvoorbeeld van je bank. En dat er dan niet  eerlijk staat dat het een gehackte website is, zoals ik hier even gedaan heb, maar  ze je om je bankgegevens vragen.

Dat zou natuurlijk enorm gevaarlijk zijn.

Gaan we naar dezelfde pagina, maar dan via https… Dus we klikken in de adresbalk, en dan zetten we hier "https://" voor,  dan ziet het er ineens heel anders uit.

Nu worden we actief gewaarschuwd door Safari,  dat we deze website niet kunnen vertrouwen.

Mogelijk doet deze website zich voor  als… Dat is wat hier inderdaad gebeurt.

Dus dit is één van de dingen  waar https je tegen beschermt: je kan niet zomaar op een nep-website terecht  komen, terwijl je naar de juiste link gaat.

Let op: dit betekent niet dat  je hiermee beschermt bent tegen phishing e-mails en dergelijke,  dat is weer een ander verhaal.

Maar het beschermt je zeker tegen dit  type aanval, wat enorm belangrijk is.

Maar, er is nog iets anders.

En om je dat te laten zien gaan we naar een  speciale pagina die ik hier voor ingericht heb: Voor deze demonstratie gebruik ik  ook nog het programma Wireshark.

En Wireshark hoef je verder niet te onthouden of te kennen. Het is een vrij populair programma  om netwerk-verkeer in de gaten te houden.

Het kan onder andere gebruikt worden  om dus "mee te luisteren". En dat is hoe wij het nu gaan gebruiken, al is het  natuurlijk in onze eigen, afgesloten omgeving.

Wij draaien het hier nu allemaal op één Mac,  omdat het wat simpeler is voor de video.

Maar je kunt je dus voorstellen dat het  Wireshark-programma op een andere computer draait, maar op hetzelfde WiFi-netwerk als  jij, en dus kan meeluisteren wat jij doet.

We starten het meeluisteren met de blauwe knop.

En om nu verder te gaan moeten  we naar de login-pagina.

En hier staat al "de inlog-pagina is geheim".

Maar ik weet 'm.

We moeten gewoon naar /inlog en  als we hier even gaan kijken, we maken deze kolom even wat smaller, dan  kun je hier gelijk een paar dingen zien.

Je kunt hier onder andere zien dat we zijn  begonnen door naar die website te gaan, demo-veiligheid.applecoach.nl, en dan kun je hier zien dat we specifiek  gegaan zijn naar de pagina "/inloggen".

Dat is misschien niet heel erg privacy-gevoelige informatie. Maar zelfs zoiets kan  al best wat informatie vrijgeven.

Stel je maar voor dat jij naar de website  van een specifieke organisatie gaat, en dan naar de pagina "/afspraak-maken".

Als dat bijvoorbeeld de  website van een ziekenhuis is, kan ik al redelijk aannemen dat jij  een afspraak bij het ziekenhuis maakt.

Dat kan informatie zijn die  je liever privé had gehouden.

Er zijn nog wel extremere  voorbeelden te verzinnen, waar alleen al zien welke link iemand  bezoekt je heel veel informatie geeft.

om nog even bij het ziekenhuis te blijven,  misschien staat de naam van de afdeling ook al wel in de link. Dan weet ik bij welke  afdeling jij een afspraak hebt gemaakt.

Dat kan natuurlijk heel veel informatie  vrijgeven die je liever voor jezelf houdt.

Maar dit gaat nog verder… Want klikken we op die regel er onder, dan zien we de reactie van de website. Daar staat  van alles, veel technische informatie is dit vooral, maar wanneer de regel  "Line-based text data" open klikken… Dan zie je nu gewoon precies de tekst die wij in  Safari zien. Er staan wat dingen om heen, dat is ook weer een technisch dingetje — HTML heet dat  — maar je kunt in principe gewoon de tekst lezen.

"Welkom." En hieronder kun je inloggen.

Nu denk je misschien "Die tekst konden ze  sowieso wel lezen, want ze weten al op welke pagina ik zat". Klopt, maar we gaan verder,  en dan ga je zien waarom dit belangrijk is.

We gaan terug naar Safari,  en dan gaan we inloggen.

Mijn gebruikersnaam, martijn.

En let ook op: zodra ik begon te  typen in het formulier-veld werden die woorden "niet veilig" gelijk rood gemarkeerd.

Dat is dus om echt aan te geven dat het niet  verstandig is om gegevens in een formulier in te vullen als je geen beveiligde  verbinding hebt. We zullen zo zien waarom.

Ik vul hier m'n wachtwoord  in. Niet meekijken graag. 😉 Ok, dan gaan we inloggen.

En nu zie ik het geheime  woord van de dag: paprika.

Terug naar Wireshark.

Je ziet hier twee regels er  bij. We klikken op de bovenste.

We openen "HTML Form bla bla bla.

En hier onder dat kopje "HTML  Form", zie je twee dingen: username, met daar achter "martijn", en  "password", met daar achter… mijn wachtwoord.

Nee, dat wist ik natuurlijk.  Dit is allemaal een demo.

Maar ons wachtwoord, wat gewoon  netjes als sterretjes stond net, wordt hier gewoon getoond  aan een eventuele hacker.

Die kan nu dus zelf naar de demo website, naar de  inlog-pagina, en dan inloggen met mijn gegevens.

Maar stel dat ik nou snel m'n wachtwoord zou  veranderen… Dan ben ik nog steeds te laat.

Want de informatie, in dit geval het geheime  woord van de dag, kan de hacker ook gewoon bij.

Kijk hier maar met me mee, een regel lager, zien we onder de Line-based text weer  precies wat er aan ons getoond is.

Inclusief het geheime woord van de dag.

Dus deze gegevens, die alleen te  zien waren als we ingelogd zijn, zijn hier gewoon te zien in Wireshark.

Nu is dat natuurlijk gewoon maar een woordje.

Maar dit zouden dus ook je medische  gegevens kunnen zijn; je banksaldo; je e-mails; een geheime brief; …  Alles wat niet over https gaat, dus niet een beveiligde verbinding met  een slotje, kan hier gewoon verschijnen.

Dus, hopelijk zie je hoe groot  deze problemen kunnen zijn.

Nu gaan we dezelfde stappen nog  een keer doen, maar dan via https.

Ok, we klikken in de adresbalk.  Gaan nog steeds naar deze pagina, maar nu doen we "https://" er voor.

Wat gelijk opvalt nu: er staat niet langer  "niet veilig", maar gewoon een slotje.

En kijken we in Wireshark nu… Je kunt wel zien dat we verbinding  hebben gemaakt met dat IP-adres, met 149.

Maar je kunt niet zien  welke pagina op die website.

En je kunt niet meer zien wat er is teruggestuurd.

We kunnen klikken op zo'n regel  en er staat hier van alles.

We kunnen die dingen openklappen, maar je  kunt niet echt zien wat er nou gestuurd is.

Het enige zou dat IP-adres zijn, omdat je dat in sommige gevallen kunt  herleiden naar een specifieke website.

Ok, we gaan weer naar Safari.

En we gaan weer inloggen. Gebruikersnaam  en wachtwoord, je mag 'm weer niet zien.

En op de achtergrond zie je weer  dingen gebeuren in Wireshark.

En inderdaad, gaan we hier kijken, ja, je ziet dat er dingen gebeurd zijn.  Maar we kunnen weer niet zien wat.

Niet welke website, niet welke pagina, en we kunnen ook niet zien wat  er is ingevuld in het formulier.

Dus dit is een enorm belangrijk  verschil tussen het gebruik van een website mét slotje, en  een website zónder slotje.

Ok… Dit was een heel lange video misschien.

Maar nu heb je wel kunnen zien wat de  gevaren zijn als er geen slotje is.

En om ze nog even snel samen te  vatten, het zijn de volgende dingen: Zonder slotje weet je niet zeker  dat je op de juiste website zit, en kun je gewoon op een nep-website komen; Iemand die op jouw netwerk afluistert  kan precies zien wat jij te zien krijgt; En iemand die afluistert  kan ook zien wat jij stuurt, en zo bijvoorbeeld je login-gegevens afpakken.

Al met al dus genoeg reden om altijd op te letten  voor het slotje wanneer je een website bezoekt.


Martijn Engler, Apple expert

Hey, ik ben Martijn en al meer dan 10 jaar "de Apple Coach". Expert op het gebied van alles wat met Apple te maken heeft: Macs, iPhones, iPads, en meer.

meld je nu aan voor je gratis sneltoetsen spiekbriefje