Waarom is een slotje in de adresbalk zo belangrijk? (SSL)
Waarom is zo'n slotje in je adresbalk nou zo belangrijk als je ergens inlogt? En is het eigenlijk alleen als je inlogt, of is er meer?
In deze video laat ik je het perspectief van een hacker zien, een crimineel die iets van jou wil stelen. En waarom zij zo blij zouden zijn als jij websites zonder slotje gebruikt…
Op zoek naar meer leuke Apple tips? Abonneer je op dit YouTube kanaal, kijk op https://applecoach.nl of schrijf je in voor de Apple Coach nieuwsbrief via https://applenieuwsbrief.nl !
Volledige tekst voor de video "Waarom is een slotje in de adresbalk zo belangrijk? (SSL)"
Martijn van Apple Coach hier!
Je hebt vast wel eens het advies gehoord dat je niet moet inloggen op een website als er geen slotje staat.
En dat is op zich goed advies, maar… Waarom eigenlijk? Wat is nou het gevaar als jij inlogt op een website waar geen slotje staat?
Dat gevaar wil ik je hier laten zien, en ik ga je niet alleen laten zien dat dit belangrijk is. voor websites waar je inlogt, maar eigenlijk zelfs voor iedere website.
En dit wordt waarschijnlijk een vrij lange video, maar dat geeft mij ook de kans om het je goed uit te leggen. En ik denk dat het goed begrijpen van het slotje, je enorm helpt voor je online veiligheid.
En om je nu te laten zien waarom dit zo belangrijk is gaan we even kijken op de Mac.
Dit geldt wel ook voor je iPad, je iPhone, je Windows-computer, je Samsung, je Google, Motorola… Het maakt niet uit wat je hebt. Dit geldt eigenlijk voor alle type computers, waarmee je op internet gaat, waarmee je websites bezoekt.
Dus kijk gewoon even met me mee op de Mac.
We beginnen met een simpel voorbeeld. Wat is het probleem, zelfs als jij niets invult.
En ik heb hier voor de demonstratie bewust gezorgd dat de website example.com naar een nep-website wordt gestuurd. Dus, we openen Safari.
En dan gaan we naar https://example.com/ En het eerste wat je hier op zou moeten vallen, is dat in de adresbalk al staat aangegeven, dat dit geen veilige verbinding is.
Er staat daar letterlijk "niet veilig".
Dit zie je tegenwoordig niet heel veel meer.
Maardit is gelijk het verschil tussen "http", en "https".
http is het standaard "protocol", zoals dat zo mooi heet, om websites te bezoeken. https, is bijna hetzelfde, maar die "s" staat voor secure — het Engelse woord voor veilig.
https is dus gewoon de veilige versie van http.
Normaal zie je op deze website een Engelse tekst staan dat dit een demo-website is.
Je kunt zelf naar example.com gaan, en dan zul je dat zien.
Maar nu staat er "Haha! Ik heb je te pakken. Dit is een gehackte website." Nu kun je je voorstellen dat iemand dit zou doen met een andere website, bijvoorbeeld van je bank. En dat er dan niet eerlijk staat dat het een gehackte website is, zoals ik hier even gedaan heb, maar ze je om je bankgegevens vragen.
Dat zou natuurlijk enorm gevaarlijk zijn.
Gaan we naar dezelfde pagina, maar dan via https… Dus we klikken in de adresbalk, en dan zetten we hier "https://" voor, dan ziet het er ineens heel anders uit.
Nu worden we actief gewaarschuwd door Safari, dat we deze website niet kunnen vertrouwen.
Mogelijk doet deze website zich voor als… Dat is wat hier inderdaad gebeurt.
Dus dit is één van de dingen waar https je tegen beschermt: je kan niet zomaar op een nep-website terecht komen, terwijl je naar de juiste link gaat.
Let op: dit betekent niet dat je hiermee beschermt bent tegen phishing e-mails en dergelijke, dat is weer een ander verhaal.
Maar het beschermt je zeker tegen dit type aanval, wat enorm belangrijk is.
Maar, er is nog iets anders.
En om je dat te laten zien gaan we naar een speciale pagina die ik hier voor ingericht heb: Voor deze demonstratie gebruik ik ook nog het programma Wireshark.
En Wireshark hoef je verder niet te onthouden of te kennen. Het is een vrij populair programma om netwerk-verkeer in de gaten te houden.
Het kan onder andere gebruikt worden om dus "mee te luisteren". En dat is hoe wij het nu gaan gebruiken, al is het natuurlijk in onze eigen, afgesloten omgeving.
Wij draaien het hier nu allemaal op één Mac, omdat het wat simpeler is voor de video.
Maar je kunt je dus voorstellen dat het Wireshark-programma op een andere computer draait, maar op hetzelfde WiFi-netwerk als jij, en dus kan meeluisteren wat jij doet.
We starten het meeluisteren met de blauwe knop.
En om nu verder te gaan moeten we naar de login-pagina.
En hier staat al "de inlog-pagina is geheim".
Maar ik weet 'm.
We moeten gewoon naar /inlog en als we hier even gaan kijken, we maken deze kolom even wat smaller, dan kun je hier gelijk een paar dingen zien.
Je kunt hier onder andere zien dat we zijn begonnen door naar die website te gaan, demo-veiligheid.applecoach.nl, en dan kun je hier zien dat we specifiek gegaan zijn naar de pagina "/inloggen".
Dat is misschien niet heel erg privacy-gevoelige informatie. Maar zelfs zoiets kan al best wat informatie vrijgeven.
Stel je maar voor dat jij naar de website van een specifieke organisatie gaat, en dan naar de pagina "/afspraak-maken".
Als dat bijvoorbeeld de website van een ziekenhuis is, kan ik al redelijk aannemen dat jij een afspraak bij het ziekenhuis maakt.
Dat kan informatie zijn die je liever privé had gehouden.
Er zijn nog wel extremere voorbeelden te verzinnen, waar alleen al zien welke link iemand bezoekt je heel veel informatie geeft.
om nog even bij het ziekenhuis te blijven, misschien staat de naam van de afdeling ook al wel in de link. Dan weet ik bij welke afdeling jij een afspraak hebt gemaakt.
Dat kan natuurlijk heel veel informatie vrijgeven die je liever voor jezelf houdt.
Maar dit gaat nog verder… Want klikken we op die regel er onder, dan zien we de reactie van de website. Daar staat van alles, veel technische informatie is dit vooral, maar wanneer de regel "Line-based text data" open klikken… Dan zie je nu gewoon precies de tekst die wij in Safari zien. Er staan wat dingen om heen, dat is ook weer een technisch dingetje — HTML heet dat — maar je kunt in principe gewoon de tekst lezen.
"Welkom." En hieronder kun je inloggen.
Nu denk je misschien "Die tekst konden ze sowieso wel lezen, want ze weten al op welke pagina ik zat". Klopt, maar we gaan verder, en dan ga je zien waarom dit belangrijk is.
We gaan terug naar Safari, en dan gaan we inloggen.
Mijn gebruikersnaam, martijn.
En let ook op: zodra ik begon te typen in het formulier-veld werden die woorden "niet veilig" gelijk rood gemarkeerd.
Dat is dus om echt aan te geven dat het niet verstandig is om gegevens in een formulier in te vullen als je geen beveiligde verbinding hebt. We zullen zo zien waarom.
Ik vul hier m'n wachtwoord in. Niet meekijken graag. 😉 Ok, dan gaan we inloggen.
En nu zie ik het geheime woord van de dag: paprika.
Terug naar Wireshark.
Je ziet hier twee regels er bij. We klikken op de bovenste.
We openen "HTML Form bla bla bla.
En hier onder dat kopje "HTML Form", zie je twee dingen: username, met daar achter "martijn", en "password", met daar achter… mijn wachtwoord.
Nee, dat wist ik natuurlijk. Dit is allemaal een demo.
Maar ons wachtwoord, wat gewoon netjes als sterretjes stond net, wordt hier gewoon getoond aan een eventuele hacker.
Die kan nu dus zelf naar de demo website, naar de inlog-pagina, en dan inloggen met mijn gegevens.
Maar stel dat ik nou snel m'n wachtwoord zou veranderen… Dan ben ik nog steeds te laat.
Want de informatie, in dit geval het geheime woord van de dag, kan de hacker ook gewoon bij.
Kijk hier maar met me mee, een regel lager, zien we onder de Line-based text weer precies wat er aan ons getoond is.
Inclusief het geheime woord van de dag.
Dus deze gegevens, die alleen te zien waren als we ingelogd zijn, zijn hier gewoon te zien in Wireshark.
Nu is dat natuurlijk gewoon maar een woordje.
Maar dit zouden dus ook je medische gegevens kunnen zijn; je banksaldo; je e-mails; een geheime brief; … Alles wat niet over https gaat, dus niet een beveiligde verbinding met een slotje, kan hier gewoon verschijnen.
Dus, hopelijk zie je hoe groot deze problemen kunnen zijn.
Nu gaan we dezelfde stappen nog een keer doen, maar dan via https.
Ok, we klikken in de adresbalk. Gaan nog steeds naar deze pagina, maar nu doen we "https://" er voor.
Wat gelijk opvalt nu: er staat niet langer "niet veilig", maar gewoon een slotje.
En kijken we in Wireshark nu… Je kunt wel zien dat we verbinding hebben gemaakt met dat IP-adres, met 149.
Maar je kunt niet zien welke pagina op die website.
En je kunt niet meer zien wat er is teruggestuurd.
We kunnen klikken op zo'n regel en er staat hier van alles.
We kunnen die dingen openklappen, maar je kunt niet echt zien wat er nou gestuurd is.
Het enige zou dat IP-adres zijn, omdat je dat in sommige gevallen kunt herleiden naar een specifieke website.
Ok, we gaan weer naar Safari.
En we gaan weer inloggen. Gebruikersnaam en wachtwoord, je mag 'm weer niet zien.
En op de achtergrond zie je weer dingen gebeuren in Wireshark.
En inderdaad, gaan we hier kijken, ja, je ziet dat er dingen gebeurd zijn. Maar we kunnen weer niet zien wat.
Niet welke website, niet welke pagina, en we kunnen ook niet zien wat er is ingevuld in het formulier.
Dus dit is een enorm belangrijk verschil tussen het gebruik van een website mét slotje, en een website zónder slotje.
Ok… Dit was een heel lange video misschien.
Maar nu heb je wel kunnen zien wat de gevaren zijn als er geen slotje is.
En om ze nog even snel samen te vatten, het zijn de volgende dingen: Zonder slotje weet je niet zeker dat je op de juiste website zit, en kun je gewoon op een nep-website komen; Iemand die op jouw netwerk afluistert kan precies zien wat jij te zien krijgt; En iemand die afluistert kan ook zien wat jij stuurt, en zo bijvoorbeeld je login-gegevens afpakken.
Al met al dus genoeg reden om altijd op te letten voor het slotje wanneer je een website bezoekt.