:strip_icc():strip_exif()/u/362171/crop5af97984a2dbe_cropped.jpeg?f=community)
Zoals zovelen van jullie ben ik bezig geweest mijn wachtwoorden aan het wijzigen na de heartbleed bug in OpenSSL (eh.. hallo?). Want zoals jullie allemaal weten moest je je wachtwoorden wijzigen op sites waar OpenSSL gebruikt wordt, behalve als de site niet gepatcht is, wat je moeilijk kunt achterhalen: doe vooral iets met je wachtwoord of niet! Nee, wacht liever even.. maar niet te lang. Succes gebruikers!
Nou liep ik tegen een site aan die je kan laten zien hoe SSL er voor staat op een website, voor je aan de slag gaat: https://www.ssllabs.com/ssltest/. Het principe is vrij simpel: als SSL helemaal veilig is, dan krijgt de site een A en als het helemaal bagger is, dan wordt het een F (Amerikaanse grades dus).
Dus ik heb een aantal sites getest. De meeste grote bedrijven waar ik wel eens inlog kregen al een A of een A- toen ik de test uitvoerde. Denk aan alle grote banken, Google, Twitter, enzovoort.
Eneco.nl had aanvankelijk geen heartbleed bug, maar wel een F, maar dat was een of twee dagen later omgezet in een A. Okee, dus wachtwoord aangepast. (Een principe in security land is dat je een bedrijf nooit een compliment geeft voor het oplossen van een security probleem, maar niet aflatend oordeelt als een schoonmoeder dat het probleem er niet in de eerste plaats had mogen zijn. Maar ik ben blij dat er iemand bij Eneco wakker is).
Maar dan mijn lokale waterleverancier. Die hadden ook een F, want "This server supports SSL 2, which is obsolete and insecure". En een paar dagen later was dat nog zo. Dus ik heb ze gemaild. Ze legden het neer bij iemand van de afdeling automatisering. Dat was 16 april. Vandaag hebben ze nog steeds een F.
Iemand vergelijkbare ervarningen?
Nou liep ik tegen een site aan die je kan laten zien hoe SSL er voor staat op een website, voor je aan de slag gaat: https://www.ssllabs.com/ssltest/. Het principe is vrij simpel: als SSL helemaal veilig is, dan krijgt de site een A en als het helemaal bagger is, dan wordt het een F (Amerikaanse grades dus).
Dus ik heb een aantal sites getest. De meeste grote bedrijven waar ik wel eens inlog kregen al een A of een A- toen ik de test uitvoerde. Denk aan alle grote banken, Google, Twitter, enzovoort.
Eneco.nl had aanvankelijk geen heartbleed bug, maar wel een F, maar dat was een of twee dagen later omgezet in een A. Okee, dus wachtwoord aangepast. (Een principe in security land is dat je een bedrijf nooit een compliment geeft voor het oplossen van een security probleem, maar niet aflatend oordeelt als een schoonmoeder dat het probleem er niet in de eerste plaats had mogen zijn. Maar ik ben blij dat er iemand bij Eneco wakker is).
Maar dan mijn lokale waterleverancier. Die hadden ook een F, want "This server supports SSL 2, which is obsolete and insecure". En een paar dagen later was dat nog zo. Dus ik heb ze gemaild. Ze legden het neer bij iemand van de afdeling automatisering. Dat was 16 april. Vandaag hebben ze nog steeds een F.
Iemand vergelijkbare ervarningen?
:strip_exif()/u/77024/crop60704b71085e6_cropped.gif?f=community)
:strip_icc():strip_exif()/u/49652/HomerInBlack2.jpg?f=community)