i-chat schreef op vrijdag 17 maart 2023 @ 09:38:
[...]
het hele punt was juist dat je bij digid juist gevraagd wordt om NIET zomaar overal je gegevens in te vullen maar dit specifiek alleen te doen op de website digid.nl (met het groene slotje).
Ik zie in het onderste screenshot van TS anders prima de DigiD website en URL mét groen slotje?
[/q]
stelen van session IDs:
In theorie is dit altijd mogelijk, er is geen extra risico met deze methode. Ook de DigiD app stuurt verkeer naar een server en geeft een sessie/token uit, die is ook gewoon te onderscheppen.
[q] Als het goed is natuurlijk niet, ja als ik met jouw app inlog op een met digid beveiligd platform dan heeft jouw app toegang tot dat platform. wanneer ik je echter mijn username + password geef kun je daar heel veel meer mee. maar zelfs als JIJ gewoon goeder trouw bent stuur je nog wel steeds min username + password naar je server, en stuurt je server die naar digid.nl hoe handig zou het zijn om die MitM aanval (want dat is het) op jouw beurt aan te vallen en doodleuk een beetje te gaan zitten hengelen.
nu is het al erg genoeg dat de digid app lek kan zijn of dat platform problemen kan hebben, maar door dit soort installaties krijg je er een hele grote atackvector bij.
Nee, dit is gewoon een veilige manier van inloggen. Zolang het verkeer over een encrypted verbinding loopt en netjes gecontroleerd wordt dan is een MiTM geen optie. Dat zal nooit de data kunnen uitlezen, door de encryptie.
Als je een app niet vertrouwd, dan moet je hem niet gebruiken. Deze Pensioenapp gebruikt gewoon de standaarden en normale werkwijze. Als je dat niet fijn vind, dan gebruik je hem niet.
De manier hoe dit werkt is niks vreemds aan. Het zou mooier zijn als ze inderdaad de DigiD App zouden aanroepen, maar deze manier van inloggen wordt veelvuldig toegepast op het internet. Je gebruikersnaam en wachtwoorden worden niet naar een server van PGGM gestuurd, die vul je in op de veilige DiGiD website en vervolgens verstrekt die een geldig token aan de PGGM server zodat de app de gegevens heeft.
Gewoon een simpel SAML request, dit is de workflow:
:fill(white):strip_exif()/f/image/J7MkTAD5TwtHCT4dPnWh4T0n.png?f=user_large)
[...]
precies wat je zelf zeg, je stuurt je data naar de DigiD website, dus niet naar 3rdparty apps.
Zoals gezegd, dan moet je de App van PGGM niet gebruiken en direct naar de website gaan.
[
Voor 12% gewijzigd door
Drardollan op 17-03-2023 11:54
]
:strip_exif()/f/image/WWe3ETYY0KjaQZ0BpTLjrxAs.jpg?f=fotoalbum_large)
:fill(white):strip_exif()/f/image/NJ8GPegM1hxG3cIi6OhxohKN.png?f=user_large)
:fill(white):strip_exif()/f/image/igiSCFwJrD57LkDN4vG9CcwV.png?f=user_large)
:fill(white):strip_exif()/f/image/2TXsEWX9aw7gaQTP6BtDb9FT.png?f=user_large)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/WWe3ETYY0KjaQZ0BpTLjrxAs.jpg?f=user_large)
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community)
:strip_exif()/u/743321/crop63472fed46991_cropped.gif?f=community)
:strip_icc():strip_exif()/u/408989/crop5613f0d80e7bb_cropped.jpeg?f=community)
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/116726/crop5e3ee297a8a03_cropped.jpeg?f=community)
