woensdag 1 december 2010

GMS-shop 2

De GSM-shop is op dit moment helemaal op de schop, (al weer een paar weken), eens kijken over een maandje of je dan wel veilig kunt bestellen.

To be continued.

The Phonehouse part 3

Eindelijk na 3 maanden hebben de mensen bij de phonehouse dan toch door dat er ergens in de code een S ontbrak. In mijn ogen wel een erg belangrijke s, die van httpS. De S die ervoor zorgt dat al je gegevens niet zichtbaar (versleuteld) over het net gaan.

Ik vind het heel jammer dat ik het als klacht via thuiswinkel.org heb moeten aanmelden, en dat het ook hen (de mensen van thuiswinkel.org) best veel moeite heeft gekost om de Phonehouse in beweging te krijgen de opzich kleine wijziging door te voeren.

Gelukkig was alle inspanning niet voor niets en werd me vandaag gemeld dat het aangepast is. Ik heb het natuurlijk even bekeken en op de plek waar de data wordt verstuurd staat inderdaad https!

woensdag 3 november 2010

consuwijzer

Site :http://forms.consuwijzer.nl/content.jsp?objectid=11254

Voor het aanmelden van een klacht als je denk dat een bedrijf zich niet aan de regels. Alleen het mail adres is verplicht, maar je klacht gaat wel onversleuteld over het internet.

zaterdag 23 oktober 2010

GSM-shop.nl ook niet veilig?

Site: gsm-shop.nl
Probleem : Geen SSL/HTTPS op bestel pagina's.


Vandaag weer eens een bezoekje aan de GSM-shop.nl. Omdat ik nieuwsgierig was of zij het bestellen wel veilig laten verlopen keek ik naar de bestel pagina. In eerste instantie was ik wel positief gestemd, maar na wat verder graven lijkt het hier ook verre van veilig.

Op iedere bestel pagina wordt gebruik gemaakt een flash loader, dit zou het wat veiliger kunnen maken, maar door de manier van implementatie rammelt het.


De bestelpagina  http://gsm-shop.nl/actie7.php


Bevat een flash component http://gsm-shop.nl/image7.swf
<script type="text/javascript" src="swfobject.js">
</script><div id="CC9045987">Form Object</div>
<script type="text/javascript">
var so = new SWFObject
("image7.swf", "image7.xml", "680", "570", "7,0,0,0", "#ffffff");so.addParam("classid", "clsid:d27cdb6e-ae6d-11cf-96b8-444553540000");
so.addParam("quality", "high");
so.addParam("scale", "noscale");
so.addParam("salign", "lt");
so.addParam("wmode", "transparent");
so.addParam("FlashVars", "xmlfile=image7.xml&w=680&h=570");
so.write("CC9045987");</script> 

Dit flash component moet geladen worden met een xml. http://gsm-shop.nl/image7.xml
In deze xml staan alle waarden die getoond worden flash object. Inclusief de plek waar de data naar verstuurd wordt. In dit geval is dat http://gsm-shop.nl/image7.php

Dit lijkt een ordinaire mailer page te zijn. Op deze pagina wordt wat mij betreft veel te informatie vrij gegeven.





















Kijkend naar de "privacy" voorwaarden wordt ik ook niet heel vrolijk.
http://www.gsm-shop.nl/privacy.php

Alle gegevens die ze verzamelen worden vrijwillig verkregen.. Wat ze daar ook mee mogen bedoelen..

woensdag 20 oktober 2010

Thoorn.nl

Site : Thoorn.nl
Probleem : Geen SSL mogelijkheid op aanmeld site.
Status : opgelost, ga naar https://www.thoorn.nl

Omdat we nog wat geld overhadden op een van onze telefoonnummers, wilde we een deel hiervan proberen om te zetten in geld op onze bankrekening, hiervoor zijn diverse sites, thoorn.nl is er daar een van. Deze site kende ik via het werk.

Toen ik op de site kwam viel me op dat er geen standaard beveiliging wordt geboden, wat opzich wel spijtig omdat je toch wat persoonlijke gegevens over het net heen slingerd.



Een mailtje naar de maker van de site werd bijna direct beantwoord, een bedankje en een verwijzing naar https:// met de verontschuldiging dat het wel om een standaard server certificaat ging. Hij gaf aan dat een normaal certificaat nogal duur is. En dat is inderdaad ook zo. Maar gelukkig zijn er wel wat alternatieven in de markt. 


Nu een maand later krijg ik een mail dat hij een volledig certificaat heeft. Wanneer je nu naar kiest voor aanmelden en inloggen ga je standaard naar de https:// site met een "echt" certificaat.

Afmelden discovery channel mailing

Dat gaat dus niet goed...

donderdag 7 oktober 2010

gsm-shop.nl sql inzicht

Beetje rond surfend kwam ik op de gsm-shop.nl site het volgende tegen...

Niet helemaal zoals het hoort lijkt me..


Aanpassen van de URL heeft er geen goed effect op.

dinsdag 5 oktober 2010

Volkskrant

Vandaag zien we dat de volkskrant.nl is gehackt en malware aan het verspreiden is. Ook Marokko.nl is het slachtoffer van soortgelijke hack.

De site http://extra.volkskrant.nl/poll/client/index.php bevat een ifame naar    hxxp://mydodo3.com/xxx/gobackslob3.php?unique=1. Je graag wat foute code wil laten downloaden.



vrijdag 24 september 2010

The Phonehouse - 2


Volgens het certificaat op de thuiswinkel.org voldoet phonehouse website aan
"3. Veiligheid en privacy
Uw persoonsgegevens laat u achter in een beveiligde webomgeving, die is voorzien van minimaal een SSL-certificaat (slotje onder of boven aan de webpagina)." https://beheer.thuiswinkel.org/certificering/index.asp?BedrijfId=1821

Dit is volgens mijn bevindingen dus niet waar.

De pagina biedt standaard geen  https en ook het slotje ontbreekt dan dus.

De argumenten van het slotje op de site van zowel de phonehouse als thuiswinkel.org kloppen dan ook niet.

Het is natuurlijk mogelijk om naar de https site te gaan. Dit levert dan helaas nog steeds niet het gewenste resultaat, in de code staat namelijk dat de data verstuurd moet worden naar een http site.

Wat resulteert in het onversleuteld versturen van de data.


Wanneer ik met behulp van wireshark een dump van het verkeer maak, dan wordt mijn vermoeden bevestigd. Alle data wordt onversleuteld verstuurd.

Mijn POST data naar de server:

POST /abonnement/sony-ericsson/xperiax10minipro-wii/vodafone-bel-sms-web/150/2jaar/ HTTP/1.1
Host: www.phonehouse.nl
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; nl; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: nl,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://www.phonehouse.nl/abonnement/sony-ericsson/xperiax10minipro-wii/vodafone-bel-sms-web/150/2jaar/
Cookie: PHPSESSID=B~18ae5784x041f1xf5aaxd42e3cb9582; network=vodafone-bel-sms-web

Content-Type: application/x-www-form-urlencoded

Content-Length: 1839

noActionRedirect=0&
sPhone=SOEX10MINIPRONINWII&
iNetwork=879&
sDeal=VW15-2J&
eDealType=subscription&
bBargain=&
bProlong=&
sPageName=checkout&
sAction=order&
iReminderID=&
bApa=&
iOrderID=&
sOrderIDSecure=&
phone%5Bcolor%5D=black&
bundel%5Bsms%5D=--&
eOrderType=delivery&
nawgegevens%5Bzakelijk%5D=particulier&
nawgegevens%5Boprichtdatum_dag%5D=&
nawgegevens%5Boprichtdatum_maand%5D=& 
nawgegevens%5Boprichtdatum_jaar%5D=&
nawgegevens%5Baanhef%5D=Dhr.&
nawgegevens%5Bvoorletters%5D=R&
nawgegevens%5Btussenvoegsel%5D=&
nawgegevens%5Bachternaam%5D=Hendxxx&
nawgegevens%5Bstraatnaam%5D=olof+palmestraat&
nawgegevens%5Bhuisnummer%5D=6&
nawgegevens%5Bhuisnummer_toevoeging%5D=&
nawgegevens%5Bpostcode%5D=2600AH&
nawgegevens%5Bplaats%5D=Delft&
nawgegevens%5Bgeboortedatum_dag%5D=01&
nawgegevens%5Bgeboortedatum_maand%5D=01&
nawgegevens%5Bgeboortedatum_jaar%5D=1999&
nawgegevens%5Bemailadres%5D=werktniet%40asdfasdferwerdwe.zw&
nawgegevens%5Btelefoonnummer%5D=0121212121&
nawgegevens%5Btelefoonnummer2%5D=&
nawgegevens%5Bopdehoogte%5D=nee&
legitimatie%5Blegitimatiebewijs%5D=Rijbewijs&
legitimatie%5Blegitimatiegeldigtotdag%5D=01&
legitimatie%5Blegitimatiegeldigtotmaand%5D=01&
legitimatie%5Blegitimatiegeldigtotjaar%5D=2011&
legitimatie%5Bnationaliteit%5D=Grieks&
legitimatie%5Bnummerlegitimatie%5D=12342134521&
betaling%5Btypebank%5D=bank&
betaling%5Bbankrekeningnummer%5D=154512345&
betaling%5Bbankrekeninghouder%5D=Pietje+puk&
betaling%5Bbankplaats%5D=groningen&
betaling%5Bbanknaam%5D=heeftieniet&
betaling%5Bbankpasnummer%5D=1234&
betaling%5Bbankpasgeldigtotmaand%5D=01&
betaling%5Bbankpasgeldigtotjaar%5D=01%2F2011&
nummerbehoud%5Bnummerbehoud%5D=nieuw+nummer&
nawgegevens%5Balgemenevoorwaarden%5D=1&
nawgegevens%5Balgemenevoorwaardennetwerk%5D=1&
nawgegevens%5Bopmerkingen%5D=Wil+je+ons+nog+iets+mededelen+omtrent+deze+bestelling%3F+Geef+dit+dan+hier+aan &
Bestel.x=30& 
Bestel.y=9&
Bestel=Bestel
 
Server response:
HTTP/1.0 200 OK 
Date: Mon, 23 Aug 2010 12:57:52 GMT
Server: Apache/2.2.12 (Ubuntu)
X-Powered-By: PHP/5.2.10-2ubuntu6.4
X-Publisher: Melete
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: network=vodafone-bel-sms-web; expires=Mon, 30-Aug-2010 12:57:52 GMT; path=/
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20068
Content-Type: text/html
X-Cache: MISS from debz
Connection: close






Overtuigen

Hoe kun je iemand overtuigen dat de beveiliging van de site niet op orde is?

Ik probeer nu al enige tijd The Phonehouse ervan te overtuigen dat ze hun klantgegevens onversleuteld versturen over het net. Zie ook mijn tweets en een vorig blog bericht hierover.
Ik wordt er bijna moedeloos van, ze zijn er zo van overtuigd dat de site niets verkeerd doet, dat ze volgens mij niet eens de moeite nemen om zelf naar de pagina te kijken. Of in ieder geval te controleren dat het goed zit.
In dit geval zijn The Phonehouse en thuiswinkel.org zo zelfverzekerd dat ik gister nogmaals een registratie heb gedaan waarbij ik met wireshark alle data heb vastgelegd. Natuurlijk vond ik weer wat ik al wist.

Geen https of enige andere vorm van versleuteling, alles gaat plaintext over de lijn en daar komt ook nog eens bij dat het lijkt of bijgehouden wordt wat je intypt, waardoor tussentijds (fout ingevoerde) data ook onversleuteld verzonden wordt, zonder dat op verzenden (bestellen) is gedrukt.

Ik zal proberen om binnenkort een filmpje te maken van het verkeer, zodat te zien is wat over de lijn wordt gestuurd. Tot dan kun je het vorige artikeltje over The Phonehouse bekijken.




maandag 20 september 2010

andere intressante bronnen

De regels

Volgens de KVK website moet een webwinkel aan onderstaande regels voldoen.

"Bescherming persoonsgegevens Als eigenaar van een webwinkel beschikt u over persoonsgegevens van uw klanten. U moet voldoen aan de regels over verwerking en gebruik van deze gegevens. Zo moet u op uw site aangeven welke persoonsgegevens u gebruikt en waarvoor. Zonder toestemming van de klant mag u deze gegevens niet aan derden doorgeven. U moet persoonsgegevens ook beveiligen tegen misbruik door werknemers of hackers. Een handleiding voor verwerkers van persoonsgegevens kunt u gratis downloaden op de site van het CBP  of het Ministerie van Justitie.  "

"Veilig zakendoen Veilig betalen via internet is mogelijk dankzij beveiligingsprotocollen, die misbruik zoveel mogelijk voorkomen Een bekend protocol is de Secure Socket Layer (SSL). Bij deze methode verstuurt de klant betalingsgegevens, zoals een creditcardnummer, beveiligd over het internet. Meer informatie: www.ssl.com"
Van: http://www.kvk.nl/wetten_en_regels/ 

"Eisen als gevolg van de Wet Bescherming Persoonsgegevens

De Richtsnoer “Publicatie van persoonsgegevens” (College Bescherming Persoonsgegeven, dec. 2007) is op een aantal punten duidelijk over wat er moet gebeuren. SSL wordt bij uitwisseling van persoonsgegevens als verplichting opgelegd.

Thuiswinkel.org heeft deze maatregel per 2009 ook als eis aan haar leden opgelegd. Het goede gebruik van SSL is onderdeel van de verplichte certificering voor leden van Thuiswinkel.org.

Volgens Jacob Kohnstamm, voorzitter van de privacy-waakhond, wil het CBP een eind wil maken aan makkelijk te kraken databases. Er zullen scherpere regels komen waardoor handhaving beter mogelijk wordt."
Van : joos.lambrechtsen.nl/
 

Meer info Criteria veilige webwinkels