Posts

Showing posts from 2016

Het is moeilijk mensen te vertrouwen in een monetair systeem

Image
Aan de Raad voor Accreditatie

Is het erger dat een webwinkel met een "F" score op SSL Labs (geen veiligheid van de verbinding tussen consument en webwinkel) een keuring toont van een Webshop Keurmerk of dat deze Keurmerk "een 10 heeft gekregen voor de betrouwbaarheid door de Raad voor Accreditatie" met name over "de manier waarop de keurmerk wordt verleend"?

De webwinkel www.destofzuigerzak.nl is een van de vele online winkels van Nederland.

Het menu Informatie, hoofdstuk Veilig winkelen verklaart:
"U kunt bij ons met een gerust hart winkelen. Wij zijn gecertificeerd door Webshop Keurmerk, hét toonaangevende door de overheid erkende keurmerk voor kopen op afstand. Daarnaast worden uw gegevens vertrouwelijk behandeld (zie ons Privacy beleid) en worden alle gegevens die u tijdens uw bestelling invoert, versleuteld/beveiligd verstuurd middels een SSL-verbinding. Wij zijn hiervoor officieel gecertificeerd door Safe2Shop met de hoogst mogelijke waardering…

SSLLabs SSL Test on 716 .gov https sites

Image
716 .gov https sites (thanks to @hackertarget dnsdumpster)
328 "F" (45,81%)
178 "A" (24,86%)

(one IP address per subdomain unless multiple scores)

2016/03/02 18:12:18 a068-acswebsrv.nyc.gov 167.153.11.46: F 2016/03/02 18:12:29 ace.cbp.dhs.gov 216.81.83.93: F 2016/03/02 18:12:29 accela1.howardcountymd.gov 167.102.191.83: F 2016/03/02 18:12:35 1click.dhsoha.oregon.gov 170.104.63.76: A- 2016/03/02 18:12:38 adfs.txdot.gov 168.58.229.156: C 2016/03/02 18:12:42 adfg.alaska.gov 146.63.61.200: C 2016/03/02 18:12:52 aip.medi-cal.ca.gov 12.9.80.162: F 2016/03/02 18:13:02 ac.ninds.nih.gov 156.40.215.10: A 2016/03/02 18:13:06 adhimmreglive.arkansas.gov 170.94.17.67: A 2016/03/02 18:13:09 adherave.arkansas.gov 170.94.15.181: B 2016/03/02 18:13:24 alerts.rochestermn.gov 12.184.36.207: A 2016/03/02 18:13:24 airmobile.house.gov 143.228.131.184: F 2016/03/02 18:13:32 aoprals.state.gov 169.253.204.152: B 2016/03/02 18:13:50 app.doj.…

The majority of DHS subdomains vulnerable to Man in The Middle attacks

Image
On 17th september there were 18 .dhs.gov entries in badssl, 11 of which vulnerable to Man in The Middle attacks and 4 to Poodle (TLS) attack;

United States Government Accountability Office has meanwhile found other issues which are probably bigger(?) than that, as the $6B firewall which seems hitting an impressive 6% of the total vulnerabilities selected for review:

More specifically, for the five client applications we reviewed (Adobe Acrobat, Flash, Internet Explorer, Java, and Microsoft office), the NCPS intrusion detection signatures provided some degree of coverage for approximately 6 percent of the total vulnerabilities selected for review.
...by the way, here are the (SSL/TLS) facts about DHS as of today: