SSL beveiligingsfoutmelding bij Mastercard SecureCode - Privacy en beveiliging

donderdag 11 maart 2010 22:43

Acties:

0 Henk 'm!

Topicstarter

Beste users,

Tijdens het doen van een creditcard transactie met mijn mastercard creditcard kwam ik langs het SecureCode verhaal. HEt SecureCode verhaal houdt in dat je een wachtwoord/pincode hebt voor online transacties. Dit maakt je kaart veiliger omdat er bij diefstal niet klakkeloos op internet mee kan worden geshopped.

Ik kreeg echter bijgaande 'fout'-melding van mijn browser:

Afbeeldingslocatie: http://img297.imageshack.us/img297/8853/mastercardfailsafe.png

Afbeeldingslocatie: http://img297.imageshack.us/img297/8853/mastercardfailsafe.png

Hoe zou ABN Amro moeten reageren volgens jullie? Ik vertel later hoe ze werkelijk hebben gereageerd.

Groet,

donderdag 11 maart 2010 22:51

Acties:

0 Henk 'm!

temp00

Als het kan ben ik lam

Ik begrijp jouw vraag/topic geloof ik niet helemaal.

De browser kan dus (tijdelijk) niet controleren of het certificaat nog geldig is. Misschien ligt het/de probleem/schuld niet direct bij ABN. Is het geen probleem van Chrome? Is het geen probleem van de certificaat-serviceprovider? Enz.

Misschien kan je iets duidelijker zijn wat je nu met dit topic wilt.

♠ REPLY CODE ALPHA ♠ 5800X, 32GB @ 3600cl16, 980 Pro 2TB, RTX 5070Ti, MPG271QRX OLED @ 360HZ ♠ Overwatch ♠

donderdag 11 maart 2010 22:54

Acties:

0 Henk 'm!

CyBeR

💩

Die melding geeft aan dat je browser niet online kon controleren of het certificaat dat de server je stuurde niet toevallig ingetrokken was. Hij is dus in principe gewoon geldig.

Hoe ABN reageert is afhankelijk van of je een telefoonmiep aan de lijn had of een echte beveiligingsexpert.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 11 maart 2010 22:58

Acties:

0 Henk 'm!

Alex)

Enigszins offtopic, maar goed dat je zo alert bent op dit soort dingen. Nu is deze melding nog enigszins onschuldig, want het certificaat is in principe gewoon geldig, en de hostname klopt ook.

We are shaping the future

zaterdag 13 maart 2010 22:30

Acties:

0 Henk 'm!

Opperpanter2

Topicstarter

De vraag komt voort uit het feit dat ABN Amro heel laatdunkend reageerde op deze melding. Eerst begonnen ze uit te leggen wat de mastercard securecode was en waarom ik die in beeld kreeg. Daaruit bleek al dat ze het probleem niet begrepen en de SSL melding niet eens hadden opgemerkt.

Vervolgens kwamen ze niet verder dan "We weten zeker dat de securecode site veilig is, want die is ontwikkeld in samenwerking met ABN Amro". Wat natuurlijk een loze kreet is. Vooral als de browser aangeeft dat het certificaat niet kan worden gecontroleerd, en je dus niet weet of je wel op de echte securecode site zit.

Bij het indienen van dit 'probleem' gaf ik al aan dat het probleem waarschijnlijk niet bij ABN Amro zou liggen, maar eerder bij de securecode applicatie of misschien wel gewoon bij mijn browser. Toch leek het mij een interessant experiment om eens te kijken hoe er op gereageerd werd.

Na de loze melding van hierboven, uitgelegd wat de melding betekent en aangedrongen op een beter antwoord. De dame ging in conclaaf met de fraude afdeling en kwam een aantal minuten later erop terug met de volgende melding: "Zolang er een slotje in beeld staat is het veilig."

Zoals de meeste mensen zullen begrijpen is dit wederom een loze kreet. Een slotje zegt weinig over de authenticiteit van de bezochte site.

Op dit moment had ik er eigenlijk wel genoeg van, maar was wel een stuk wijzer over hoe de ABN Amro omgaat met veiligheid gerelateerde meldingen van klanten.

zaterdag 13 maart 2010 22:34

Acties:

0 Henk 'm!

Nvidiot

notepad!

Dat secure-code gedoe is uitermate vervelend, omdat het nogal makkelijk schijnt te zijn om de code te laten resetten EN je zelf aansprakelijk bent voor misbruik van de kaart indien de code gebruikt is... Ik heb juist een creditcard zodat ik eenvoudig foute betalingen kan terugboeken en het risico daarvan bij de bank ligt en niet bij mij!

Een paper over hoe brak dit systeem inelkaar zit: http://www.cl.cam.ac.uk/~rja14/Papers/fc10vbvsecurecode.pdf

[ Voor 14% gewijzigd door Nvidiot op 13-03-2010 22:35 ]

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

zaterdag 13 maart 2010 22:34

Acties:

0 Henk 'm!

Fietsbel

¯\_(ツ)_/¯

ABN Amro en goede creditcard service bestaat niet helemaal, alle 4 de kaarten van het bedrijf waar ik werk hebben met regelmaat (random) problemen dat wij niet kunnen betalen. Neem je contact op met de helpdesk zeggen zij dat ze niks kunnen doen. Hebben met regelmaat nieuwe kaarten gehad en het probleem blijft. Echt een bank waar je niks aan hebt.

39

zaterdag 13 maart 2010 22:40

Acties:

0 Henk 'm!

Fairy

13kWp

Kijk ook even of de klok en datum van je pc precies goed staan. Ik heb hier ook een keer ellende mee gehad na een bios reset. Bleek de klok 10 jaar achter te lopen, en dan zijn de certificaten ineens in de 'toekomst'.

dinsdag 16 maart 2010 00:27

Acties:

0 Henk 'm!

Opperpanter2

Topicstarter

Nvidiot schreef op zaterdag 13 maart 2010 @ 22:34:
Dat secure-code gedoe is uitermate vervelend, omdat het nogal makkelijk schijnt te zijn om de code te laten resetten EN je zelf aansprakelijk bent voor misbruik van de kaart indien de code gebruikt is... Ik heb juist een creditcard zodat ik eenvoudig foute betalingen kan terugboeken en het risico daarvan bij de bank ligt en niet bij mij!

Een paper over hoe brak dit systeem inelkaar zit: http://www.cl.cam.ac.uk/~rja14/Papers/fc10vbvsecurecode.pdf

Interessant artikel. Jammer dat de regelgevers de techniek niet snappen en dit dus zomaar kan.

dinsdag 16 maart 2010 11:44

Acties:

0 Henk 'm!

CmdrKeen

Krentenboltosti

Ik heb dit probleem regelmatig met Chrome (dat hij niet kan checken of een certificaat is ingetrokken). Ga je kijken met andere browsers dan is het ineens wel goed. Ik denk dat het een probleem met Chrome is - ik krijg deze melding zelfs op Googles eigen sites. De info in de certificaten klopt dan wel maar hij kan niet controleren of het is ingetrokken...

Bloed, zweet & koffie

dinsdag 16 maart 2010 11:54

Acties:

0 Henk 'm!

Anoniem: 289377

Vorkbaard schreef op dinsdag 16 maart 2010 @ 11:44:
Ik heb dit probleem regelmatig met Chrome (dat hij niet kan checken of een certificaat is ingetrokken). Ga je kijken met andere browsers dan is het ineens wel goed. Ik denk dat het een probleem met Chrome is - ik krijg deze melding zelfs op Googles eigen sites. De info in de certificaten klopt dan wel maar hij kan niet controleren of het is ingetrokken...

Volgens mij is het niet het probleem van Chrome, maar is Chrome de enige browser die checkt of een certificaat is ingetrokken. Firefox/IE e.d. doen dit in zijn geheel niet nl.

dinsdag 16 maart 2010 15:30

Acties:

0 Henk 'm!

Alex)

Internet Explorer doet dit ook... ik heb ook van IE die meldingen voorbij zien komen.

We are shaping the future

woensdag 17 maart 2010 20:28

Acties:

0 Henk 'm!

alt-92

ye olde farte

Anoniem: 289377 schreef op dinsdag 16 maart 2010 @ 11:54:
[...]

Volgens mij is het niet het probleem van Chrome, maar is Chrome de enige browser die checkt of een certificaat is ingetrokken. Firefox/IE e.d. doen dit in zijn geheel niet nl.

Een CRL check (Certificate Revokation List) staat standaard AAN in IE8 hoor.

Afbeeldingslocatie: http://tweakers.net/ext/f/wsTIKdut9m71KRkNhDM2SdSc/full.png

Afbeeldingslocatie: http://tweakers.net/ext/f/wsTIKdut9m71KRkNhDM2SdSc/full.png

Ook FireFox doet aan CRL checks, maar gebruik daar default 'userfriendly' instellingen voor:
Afbeeldingslocatie: http://tweakers.net/ext/f/rRHRXCdEeRbcuAcmt6vTe7uT/full.png

Afbeeldingslocatie: http://tweakers.net/ext/f/rRHRXCdEeRbcuAcmt6vTe7uT/full.png

Via Validate krijg je dan deze:
Afbeeldingslocatie: http://tweakers.net/ext/f/IAsaE1SoawanLz2TAFzdY12S/full.png

[ Voor 24% gewijzigd door alt-92 op 17-03-2010 20:33 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device