Gevolgen security exception in browser (TLS gerelateerd)

ecrollen schreef op donderdag 27 juni 2024 @ 10:30:
1. Betekent dit dat alle uitgewisselde informatie kan worden gelezen door een derde, zelfs als de site een certificaat heeft?

Nee.

2. Stel dat iemand mijn wachtwoord voor de site zou onderscheppen. Kunnen ze er iets mee doen als ik twee-factor authenticatie met een verificatiecode heb geïnstalleerd op de site?

Dat ligt aan de site. 2FA bypass bugs bestaan en zijn bij criminelen zeer gewild.

Nou iets genuanceerd.
Omdat je standaard al een foutmelding heb met je verbinding, weet je NIET of iemand je gegevens onderschept. De melding kan namelijk niet nog roder worden, als er iets mis is.

Verder zal de beheerder van het bedrijf, de website met een reden dicht hebben gezet..

Je bent onveilig bezig en workarounds gebruiken op je bedrijfs werkplek moet je niet willen.

Er is maar 1 stap wat je moet doen. Melden bij je beheerder en zeker niet vissen op tweakers van hoe wat.

[ Voor 14% gewijzigd door internet4me op 27-06-2024 12:48 ]

internet4me schreef op donderdag 27 juni 2024 @ 11:18:
Nou iets genuanceerd.
Omdat je standaard al een foutmelding heb met je verbinding, weet je NIET of iemand je gegevens onderschept. De melding kan namelijk niet nog roder worden, als er iets mis is.

Dat is niet per se waar. Je kunt een uitzondering aanmaken en dan wordt dat specifieke certificaat als vertrouwd gezien. En als het dan weer verandert krijg je een nieuwe error.

Het is wel zo dat je inderdaad beter op moet letten. Als je de 1e keer het verkeerde cert vertrouwt is 't meteen gedaan.

En als je geen uitzondering instelt (of kunt instellen) moet je dus elke keer zelf dat certificaat controleren.

[ Voor 8% gewijzigd door CyBeR op 27-06-2024 11:28 ]

internet4me schreef op donderdag 27 juni 2024 @ 11:18:
Je bent onveilig bezig en workarounds gebruiken op je bedrijfs werkplek moet je niet willen.

Er is maar 1 stap wat je moet doen. Melden bij je beheerder en zeker niet vissen op tweakers van hoe wat.

Het is mogelijk met een reden geblokkeerd. Als jij dat omzeilt ben je tegen het organisatiebeleid in bezig. Dat kan consequenties hebben.

Is het een eigen smartphone of laptop? Dan zou je eventueel voor die geblokkeerde site gebruik kunnen maken van je 4G verbinding of hotspot. Maar doe dit óók niet als het een device van je werkgever is

Er zijn legio mogelijkheden om dit te omzeilen, maar dat moet je helemaal niet willen (...en ik ga je er ook niet bin helpen, no offense).

Als het allemaal geen probleem is wat je doet, dan is het ook geen probleem om daar via de interne kanalen officieel toestemming voor te krijgen. Dat neemt gelijk alle mogelijke twijfels weg over je goede bedoelingen, mits je dat geaccordeerd krijgt. En ik denk het niet, want als data security de reden is, dan gaan ze jou net zo min op je blauwe ogen vertrouwen als dat ik dat doe.

Er is een (al dan niet goede of terechte) reden waarom dit niet mag binnen jouw bedrijf. Als jij het toch persé nodig hebt, dan moet er een uitzondering voor jou worden gemaakt via de daarvoor geldende kanalen. En als die uitzondering niet kan of mag worden gemaakt, dan moet jij jouw werkwijze aanpassen zodat je je eigen Synology niet nodig hebt voor je werk...

ecrollen schreef op vrijdag 28 juni 2024 @ 10:33:
@CyBeR Hoe kan ik dat certificaat controleren. Is er een specifiek nummer dat moet overéénkomen?

Elk certificaat heeft een (of meerdere) fingerprints, dat is een hash van het certificaat en die moet idd overeen komen.

ecrollen schreef op vrijdag 28 juni 2024 @ 10:33:
Bedankt iedereen voor de reacties. Even benadrukken dat het hier gaat om een verbinding naar mijn eigen Synology. Ik begrijp wel dat mijn organisatie de Synology domeinnamen blokkeert. Waarschijnlijk vrezen ze dat mensen met documenten aan de haal zouden gaan. Dat is helemaal mijn geval niet.

Dus jouw werkgever (ik ga er even vanuit dat je dat bedoelt met "mijn organisatie", anders snap ik er echt de ballen van) wil niet dat mensen vanaf het bedrijfsnetwerk verbinding maken met prive-opslag waar ze mogelijk gevoelige informatie heen zouden kunnen kopieren?

Dat is een legitieme reden om zulke verbindingen te verbieden.

En natuurlijk(!) wil jij er helemaal geen misbruik van maken, maar als jij het mag, mogen je collega's het ook. En zijn die allemaal te vertrouwen?

Onderschat dit soort beveiliging (en de noodzaak ervan) vooral niet. "Ja, maar ik deed niets fout!" is geen excuus. Ik heb een collega gehad die vond dat ie te lang moest wachten op een beveiligde reposositroy voor zijn code, en dus zelf maar backups van zijn code op een shared folder had neergezet. Maar die shared folder was toegankelijk voor collega's die niets met die sourcecode te maken hadden. De betreffende collega is toen letterlijk onder bewapende begeleiding verwijderd. Nu was dat niet bij een gemiddeld bedrijf, maar het zorgt er weel voor dat ik iets meer ben gaan nadenken over beveiling(srisicos).

Overigens, denk ook eens de andere kant op: je bent kennelijk niet heel erg 100% zeker van hoe je jouw eigen persoonlijke opslag beveiligt. Stel dat jij malware op je eigen persoonlijke netwerk krijgt, en dat dat op jouw Synology terecht komt. Er worden vast een boel mensen niet blij van als het via die route op het netwerk van je werkgever terecht komt. Zolang jij niet kunt garanderen dat zoiets niet gebeurt (en dat kun jij niet) is het logisch dat je werkgever de toegang blokkeert.

ecrollen schreef op vrijdag 28 juni 2024 @ 12:04:
@Reptile209 Natuurlijk gaan zij hun beperkingen niet aanpassen. Maar zo lang ik geen regels overtreedt is mijn beperking wat technisch mogelijk is. Ik gebruik al jaren mijn eigen Synology voor mijn persoonlijke organisatie. Alleen wou ik de veiligheid van mijn verbinding beter begrijpen. Over dit laatste ging mijn vraag.

Opzich overtreed je dus wel de regels door de blokkade te willen omzijlen. Zoals eerder gesteld is, kun je beter om toestemming vragen en een whitelisting krijgen voor jouw specifieke geval.

Daarnaast, op je werk dingen gaan doen voor je "privé organisatie" is natuurlijk ook een beetje dubieus..

[ Voor 7% gewijzigd door Duke of Savage op 28-06-2024 12:43 ]

ecrollen schreef op vrijdag 28 juni 2024 @ 15:35:
Zo lang ik het arbeidsreglement niet overtreedt vind ik niet dat ik een fout bega. Het IT team heeft bepaalde zaken onmogelijk gemaakt. Andere zaken zijn wel nog mogelijk. Wat technisch mogelijk is en niet verboden wordt door het arbeidsreglement lijkt mij geen probleem. Ik weet dat ik voorzichtig moet zijn en probeer dat ook te zijn. Onder andere door hier en elders beter te trachten te begrijpen hoe de vork in de steel zit. Het punt dat gemaakt werd over het mogelijk binnen halen van besmette files kan ik wel volgen. Maar dat heb je volgens mij ook als iemand zijn privé email checkt. In ieder geval bedankt voor jullie hulp!

Ik denk dat als de IT afdeling van jouw werk dit zo mee leest, dat de nekharen omhoog schieten. Gebruikers die zo redeneren zijn juist de reden dat alles zo veel mogelijk op slot moet waardoor het werken zelf weer een uitdaging wordt.

Puur omdat iets mogelijk is betekend niet dat het de bedoeling is. Je kan een deur op slot doen, maar de raam die er naast zit kun je natuurlijk in gooien met een baksteen. Het kan, maar is niet de bedoeling..

Werken voor je privé onderneming tijdens de uren van een werkgever brengt natuurlijk ook zijn belangenverstrengeling mee. Ik kan mij niet voorstellen dat een arbeidsreglement dat niet gedekt heeft. Maar ja dat is natuurlijk off-topic.

Ik adviseer om echt even langs te gaan bij de IT afdeling om toegang tot je persoonlijke Synology te verzoeken via het bedrijfs netwerk!

ecrollen schreef op vrijdag 28 juni 2024 @ 15:35:
Wat technisch mogelijk is en niet verboden wordt door het arbeidsreglement lijkt mij geen probleem.

Dat het jou geen probleem lijkt, betekent niet dat het dat niet is.
Je vraagt doelbewust naar de mogelijkheden van het omzeilen van beveiliging die door je werkgever is ingesteld.

Dat die beveiliging misschien niet waterdicht is, maakt het nog steeds niet OK om hem willens en wetens te omzeilen

ecrollen schreef op vrijdag 28 juni 2024 @ 16:20:
Ik begrijp dat jullie allemaal beheerders zijn en jullie corporatistische geest siert jullie. De hele discussie is echter of topic en komt enkel voort uit het feit dat jullie jullie ergeren aan mijn vraag.

Je stelt je vraag op een forum wara het barst van mensen die dagelijks professioneel met IT bezig zijn, inclusief de daarbijbehorende veiligheidsaspecten. In de meeste professionele situaties is het uitwisselen van oncontroleerbare privedata tussen oncontroleerbare/onbeveiligde bronnen en een bedrijfsnetwerk een serieus risico, dat gemitigeerd wordt door het zowel technisch onmogelijk te maken als contractueel te verbieden.

Als dat off-topic is omdat jouw situatie helemaal anders is, dan is het aan jou om je situiatie duidelijker uit te leggen. Om te beginnen zou je duidelijker kunnen zijn over je werkomgeving - en het niet "mijn organisatie" noemen als je gewoon jouw werkgever bedoelt, terwijl je het later hebt over "mijn organisatie" waarmee je kennelijk(?) een prive-onderneming bedoelt - en wie dan "mijn beheerder" is moeten wij dus ook maar gokken.

Jouw vraag is niet wat ergernis opwekt, maar de onduidelijkheid over jouw specifieke situatie, de beschrijving die jij geeft van hoe je bezig lijkt met omzeilen van beveiliging zonder echt te weten waar je mee bezig bent, en je aanname dat iedereen het maar normaal zal vinden dat iemand vanaf het bedrijfsnetwerk van zijn werkgever toegang moet hebben tot data waarmee hij zijn eigen prive-toko runt in de baas zijn tijd zijn wel zaken die ergernis kunnen opwekken.

Wat zeker ergernis opwekt is dat je eigenlijk iedereen die tijd en moeite steekt in een serieus antwoord, maar niet vertelt wat jij wilt horen afserveert als off-topic en nutteloos.

Ik sluit me aan bij het advies om met de beheerder van je werkgever te gaan praten, ik wens je veel succes, en ik ga wat nuttigs doen

ecrollen schreef op vrijdag 28 juni 2024 @ 10:33:
Bedankt iedereen voor de reacties. Even benadrukken dat het hier gaat om een verbinding naar mijn eigen Synology. Ik begrijp wel dat mijn organisatie de Synology domeinnamen blokkeert. Waarschijnlijk vrezen ze dat mensen met documenten aan de haal zouden gaan. Dat is helemaal mijn geval niet. Toegang tot mijn Synology betekent dat ik voor mijn persoonlijke organisatie niet elke keer naar mijn privé computer moet switchen. Ik overtreed hiermee mijns insziens geen regels want het is toegestaan de communicatiemiddelen voor occasionele privé communicatie te gebruiken.

Die regel is tegenwoordig vrij standaard, maar het omzeilen van beveiligingsmaatregelen is toch wel wat anders. Als ik de antivirus uit ga zetten om dat de crack die ik gebruik voor een tooltje er anders niet doorheen komt is de systeembeheerder ook niet blij.

Die domeinnaam is met een reden geblokkeerd, daar omheen werken is gewoon nooit de bedoeling, zelfs al heb je goede intenties.