Nieuws
image

Firefox krijgt lijst met niet af te luisteren websites

vrijdag 2 november 2012, 10:04 door Redactie, 9 reacties

Mozilla gaat een lijst met websites aan Firefox toevoegen die standaard verbinding over HTTPS maken en zo niet door derden zijn af te luisteren. Hiervoor gebruikt de browser HSTS (HTTP Strict Transport Security). Het is een mechanisme waarmee een server kan aangeven dat de browser tijdens de communicatie een veilige verbinding moet gebruiken.

"Het kan een effectieve tool zijn om de privacy en veiligheid van gebruikers en hun data te beschermen", zegt Mozilla's David Keeler.

Als er voor de eerste keer verbinding met een website wordt gemaakt, weet de browser nog niet dat die een veilige verbinding moet gebruiken, omdat het nog nooit eerder de HSTS-header van die website heeft ontvangen. Daarnaast kan een aanvaller op het netwerk voorkomen dat de browser op veilige wijze verbinding maakt.

Lijst
Om deze aanval te voorkomen heeft Mozilla een lijst met websites toegevoegd waar HSTS standaard voor staat ingeschakeld. Als een gebruiker deze websites voor de eerste keer bezoekt, zal de browser daardoor toch een veilige verbinding gebruiken.

In het geval een aanvaller op het netwerk de veilige verbinding voorkomt, zal de browser niet op een onveilige verbinding terugvallen. "En zo de veiligheid van de gebruiker blijven beschermen", merkt Keeler op.

De 'preload list' die Mozilla gebruikt is gebaseerd op een soortgelijke lijst die in Google Chrome aanwezig is. Op die lijst staan naast de domeinen van Google ook tientallen andere websites, waaronder Paypal, Lastpass, Tor en Twitter. De optie is nu in de bètaversie van Firefox te testen.

Reacties (9)
02-11-2012, 10:22 door Anoniem
Wel raar dat een site als facebook niet op de site staat en twitter weer wel.
02-11-2012, 11:08 door Anoniem
de lijst is veel te beperkt. Wie stelt de lijst samen en waarop is deze gebaseerd?
02-11-2012, 11:08 door Anoniem
Door Anoniem: Wel raar dat een site als facebook niet op de site staat en twitter weer wel.
Leer eens lezen. Het gaat om een lijst met niet af te luisteren websites. Eerst alles over jezelf openbaar maken op Facebook, zodat zelf inbrekers weten dat je niet thuis bent en je vervolgens druk maken dat je afgeluisterd wordt.
02-11-2012, 11:46 door 0101
Door Anoniem: Wel raar dat een site als facebook niet op de site staat
Als ik het me goed herinner moest Facebook HTTP als een terugvaloptie openhouden omdat sommige apps het niet ondersteunen. Ik weet niet hoe dit er nu voor staat, maar iets dergelijks zou nog steeds de reden kunnen zijn.
02-11-2012, 12:11 door Anoniem
Meer info op: https://blog.mozilla.org/security/2012/11/01/preloading-hsts/
02-11-2012, 12:48 door Acumen
Doet me denken aan:
https://addons.mozilla.org/en-US/firefox/addon/https-finder/
https://www.eff.org/https-everywhere
02-11-2012, 15:30 door Anoniem
Niet door derden af te luisteren omdat er HTTPS gebruikt wordt....

Hmmm dus MITM en malware spelen geen rol bij afluisteren en worden gedekt door HTTPS only?
03-11-2012, 11:59 door FSF-Moses
Is dit zo'n beetje te vergelijken met de add-on HTTPS Everywhere en werken deze twee samen? Ik heb helaas niet de mogelijkheid om dit te testen.
04-11-2012, 01:19 door Anoniem
Websites moeten zichzelf aanmelden, blijkbaar wil Facebook niet op de lijst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure