Lijkt me niet zo handig van FF. Ze hebben al aardig wat gebruikers verloren i.v.m het crashen van de browser, hangende vensters etc. Aangezien het merendeel op de WWW nog steeds HTTP gebruiken zal dit juist meer gebruikers doen overstappen i.v.m een niet volledig functionerende browser. Daarnaast zullen webmasters niet zo snel een SSL verbinding gebruiken als ze een site hebben met niet gevoelige informatie.

Hmm. Dit lijkt me niet echt handig... Wordt localhost uitgesloten? :P Of ze zetten het onder een flag, dat je nog steeds kan developen.

Ik vind de bedoeling / initiatief om alles naar HTTPS te krijgen goed, maar de uitvoering... Zal mijn eigen simpele website nooit naar SSL doen, tenzij SSL idd gratis is straks en mijn shared hosting provider dit ondersteund. Buiten dat FireFox daarmee te weinig in de pap te brokkelen heeft. Gebruikers zullen dan overstappen naar andere browsers.

We hadden al google die slinks voorheen prima werkende features expres kapotmaken voor "te oud" geachte browsers, nu dus mozilla die slinks voorheen prima werkende websites langzaamaan steeds verder kapotmaken om daarmee PKI nog maar eens verder "te verplichten".

Want uiteindelijk heeft iedereen dan zo'n certificaat van een paar certificaatuitgevers nodig, die toevallig in de certificaatopslag van de browser (of het OS) zitten. Dus die paar gelukkige bedrijven spinnen er garen bij.

En we hebben nog steeds het probleem dat veel van de beschikbare SSL-implementaties brakke rommel is. Waar nu dus een hele hoop extra verkeer doorheen wordt geperst. Mja.

Nou zo slecht vind ik het niet. Misschien dat ze er wat opties omheen moeten zetten zodat je een intern paginaatje kan uitzonderen.
Ik vind het eigenlijk wel dapper dat ze verlies van marktaandeel durven te riskeren voor een veiliger internet. Al is het SSL systeem dan niet perfect :).

En ik zie google chrome binnenkort/op termijn dezelfde beslissing nemen. Dan wens ik je veel plezier met HTTP in IE ;-p

Dit is gewoon het einde van Firefox. Niet iedereen is in staat https op zijn servertje te zetten. Niet eens vanwege de certiftcaten, maar vooral omdat je een vast IP-adres moet gebruiken. En dat kost extra (en niet zo'n beetje ook).

Stompzinnig gedrag voor een browserboer. Over shooting yourself in the foot gesproken...

Dat wordt dan leuk. Als ik op een willekeurige homepage van bijv. een vakantiewoning wil komen, zou dat dus niet meer kunnen. Ook de forums waar ik regelmatig kom zullen niet meer toegankelijk zijn.

Sterker nog, het grootste gedeelte van het www wordt dan niet meer bereikbaar. En heus niet alle sites zijn ook meteen sites waar je perse versleuteling nodig hebt: bij eigenlijk alle puur informatieve sites, dus waar je niet hoeft in te loggen, is dat zo.

Denkt FF nu echt dat dat soort sites hun hele opzet gaan wijzigen naar HTTPS? Lijkt me van niet, dat blijft straks allemaal hetzelfde.

Zoiets zou toch op z'n minst te kiezen moeten zijn ipv opgelegd door FF.

Ik was altijd een tevreden gebruiker van FireFox, ondanks alle wijzigingen en de daardoor noodzakelijke Addons. Maar dat zou wel een heel erg kunnen gaan veranderen als ze dit doordouwen!

Je vergeet dat je de client totaal blootstelt als je via HTTP gaat. MiTM->HTTP injection en de client is onveilig. HTTPS is niet alleen voor privé gevoelige data, maar ook voor data verificatie!

Ach, door de "HTTPS Everywhere" plugin schakelt Firefox bij mij automatisch over naar https://nl.wikipedia.org/wiki/Valse_profeet voordat de verbinding wordt opgezet - dus who cares?

Ik heb eens even gekeken bij mijn bladwijzers, of er nog sites bij zitten die ik regelmatig gebruik en die geen HTTPS gebruiken.
Zomaar een greep daaruit:

anwb.nl/verkeer/routeplanner
routenet.nl
verkeersinformatiedienst.nl
verkehrsinfo.de
ns.nl/reisplanner-v2
reiseauskunft.bahn.de
fahrplan.sbb.ch
postauto.ch
swisstravelsystem.com
meinestadt.de
- sites van sportverenigingen
- sites over computerinformatie en -problemen
- allerlei homepages van particulieren met informatie over wat ze beleefd hebben, hoe ze iets gemaakt hebben etc.

en zo kan ik nog vele bladzijden doorgaan. Duizenden sites.
Allemaal gewone www sites, niks HTTPS.

En waarom ook? Er valt daar niets te bestellen, niets te halen dan alleen informatie.
En dat zou niet meer toegankelijk zijn omdat Firefox dat even beslist.

Denkt FF nou echt dat al die sites ineens gaan overschakelen naar HTTPS.
Er zijn (met name in de particuliere sector) alleen al miljoenen sites die al genoeg moeite hebben gehad een normale site op te bouwen, laat staan om daar nu HTTPS van te maken. En al die sites van VVV's, Verkehrsvereine etc. moeten dan ook maar even omgebouwd worden?

Dat doen ze natuurlijk nooit en te nimmer, en dus is er straks een heleboel niet meer bereikbaar...

Ik begrijp hier helemaal niets van! Hier moet iets anders achter zitten!

Mozilla is echt niet goed bezig de laatste tijd. Probeer maar eens de Google malware controle uit te zetten. Dat lukt niet, de bestanden worden gewoon gedownload. Als je de schrijfrechten op de directory ontneemt, dan verandert het programma die rechten zonder enige melding. Blokkeer je de hele directory, dan wordt een "-backup" directory gemaakt en de bestanden worden alsnog aangemaakt.

Ze hebben daar geen respect voor wat de gebruiker wil.

Wat is dat toch met dat steeds weer met het, al dan niet onder excuus van, blijven beledigingen van reageerders
Valse profeet, Kruisvaarder, etc. etc ...

https://www.security.nl/rules
Anderen respecteren, hoe vaak je er ook op wijst, bij sommigen wil het er gewoon niet in.

Tel daarbij op dat we binnenkort gratis SSL/TLS certificaten kunnen aanvragen via Mozilla's Let's Encrypt initiatief, dus alles kan zonder problemen worden gecrypt.

https://letsencrypt.org/

Blijft onverlet dat we het issue houden met de chain-of-trust, ofwel het vertrouwen in de CA's welke je niet kunt intrekken (als je ze niet vertrouwt) omdat websites dan niet meer werken. Iets wat je zou kunnen oplossen door een website met meerdere certificaten (van verschillende aanbieders) op te voeren.

Mozilla heeft idd een punt dat het beter is dat verkeer over https gaat.
Aan de andere kant moeten ze zich wel realiseren dat voor bijv. het weerbericht niet (echt) nodig is.

Dit is geen actie van alleen Mozilla.

In dezelfde topic schrijven ze ook dat http niet (helemaal) geblokkeerd gaat worden.
We zullen zien... (of niet)

Laten ze nou eerst eens de honderdduizend openstaande bugs oplossen voor ze weer dingen gaan veranderen die geen
verbetering zijn.

Twee redenen:

1) Als je gebruikers waarschuwt bij elke http verbinding, vallen sslstrip aanvallen bij sites die echt (lees: waarvan jij snapt dat ze) https nodig hebben, veel sneller door de mand;

2) Zoals Anoniem van 01-05-2015, 12:31 terecht opmerkt: bij http verbindingen is de integriteit van de informatie geheel niet gewaarborgd. Aanvallers die netwerktoegang [*] tussen http server(s) en jouw browser verkrijgen, kunnen naar believen informatie wijzigen en zullen daarbij elke manier benutten om jou een (financiële) poot uit te draaien. Denk worst case!

[*] Netwerktoegang verkrijgen is vaak eenvoudiger dan je denkt. Denk daarbij aan de risico's van (het ooit gebruikt hebben van) public Wi-Fi en de vele lekke (thuis-/MKB-) routers (Google naar: site:theregister.co.uk SOHOpeless ).

Ben benieuwd als je bijvoorbeeld je router wilt configureren via Firefox. Gaat dat dan ook niet meer omdat dit via http gaat? Of zijn er router merken waarbij dit via https gaat?

1) Dit nieuws komt over als oud nieuws

De discussie loopt al langer, vooral bij Google initiatieven als het voorrang geven aan https websites in zoekresultaten, advertenties over https aanbieden,..
Het zou me niet verbazen, maar ik kon het even niet vinden als dit 'Mozilla plan' al eerder is geopperd door o.a. Google.
Het plan op zich is echt niet nieuw.

2) Mozilla heeft geen overwicht, Google en Microsoft wel

Mozilla heeft natuurlijk met haar afnemende marktaandeel niet de beste positie om dit soort plannen kracht bij te zetten.
Los nog van de niet onderbouwde en als feiten gepresenteerde aannames van RC 10:49.

3) Wat betreft de kritiek op Firefox

Als je het verschil tussen Chrome en Firefox niet begrijpt en als Chrome gebruiker kritiek hebt op Firefox zou ik adviseren helemaal op Google over te stappen.
Voor diegenen die daadwerkelijk het idee achter Mozilla producten een warm hart toedragen maar toch ontevreden is over de gewone versie van Firefox; stap over op de ESR versie van Firefox.
Geen toeters en bellen en gewoon stabiel.

Download ESR
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest-esr/

Als iedereen zijn onvrede zo zou laten blijken en het marktaandeel van de ESR Firefox versie zou stijgen ten opzichte van de standaard versie, ja misschien doet Mozilla met dat signaal dan wel wat. Al doet de gang van zaken rondom de Australis 'vormgeving' weinig hoop geven.

In ieder geval heb je met de ESR versie een stabiele Firefox browser.

4) Websites voor de particulieren markt

Particulieren en kleine zelfstandigen zijn geen webontwikkelaars, die hebben weinig aan dit soort 'signalen'.
Zelf een websitje maken lijkt met https een ingewikkelde zaak te worden is de kritiek.

Vergeten wordt dat het zou kunnen dat de markt zich erop aanpast en 'certificaat implementatie oplossingen' gaat aanbieden als product. Als er behoefte aan is omdat browser makers en zoekmachines voorkeur geven aan https en er één aanbieder begint met laagdrempelige 'certificaat oplossingen' zal de markt vrij spoedig gaan volgen.

"Money is where the heart is"

5) Het web naar https bewegen lijkt mij om diverse redenen, mits slim en gezamenlijk aangepakt, een goed idee.

Maar browsermakers willen niet graag samenwerken, graag een eigen standaard doordrukken. Daar hebben webdesigners heel lang heel erg last van gehad (understatement).

Mozilla zou tot die tijd misschien iets meer energie moeten steken in luisteren naar de community in plaats van modieus gedrag vertonen om maar nieuwe browser zieltjes te winnen.
Ik heb de indruk dat het Thunderbird project daarvan een goed voorbeeld is, men laat het niet vallen, ontwikkelt het niet door maar blijft het wel ondersteunen met securitypatches. Geen verandering omwille de verandering, al is dat helaas wel de tijdsgeest : vooral steeds nieuw, nieuwer, nieuwst uitstralen.

Mijn indruk is dat mozilla het zou moeten hebben van de 'oude' 'zieltjes', de community, die dragen de mozilla producten voor de lange termijn, niet het gros van de nieuwelingetjes die even afkomen om te ruiken aan een of andere leuke feature of een visuele restyling (privacy button) en net zo snel weer weg zijn naar een ander product.

Overtuig de nieuwe gebruikers met de bekende kernwaarden en eigenschappen die mozilla producten uniek en herkenbaar maken (+ terugwinnen van meer product stabiliteit zodat gebruikers zich niet gedwongen voelen naar de ESR versie uit te wijken).

Waarom krijg ik bij dit soort voorstellen altijd het gevoel, dat mensen alleen erop tegen zijn, omdat ze dan denken daarmee een discussie te kunnen uitlokken.
HTTPS Everywhere is daar toch speciaal voor ontworpen, en dan verwijs ik maar naar deze website van 10 december 2012 waar deze plug-in al wordt aanbevolen.

Dan doet u het toch echt niet goed.

Gewoon even zoeken op deze site.

Dus een reden des te meer is om geen achterlopend en het ook onveilige (MitM) Google Chrome te gebruiken.

Firefox met "https Everywhere" "gaat namelijk nu al naar de https versie van deze pagina.

Het hele idee om alleen https verkeer toe te laten is trouwens van Google.

Om geen reclame inkomsten mis te lopen laat Google voorlopig alleen een waarschuwing zien die http sites als onveilig bestempelt:

"Mozilla is not the only organization that plans to do away with HTTP. Google will mark non-HTTPS sites as insecure in Chrome in 2015."

Uw (te) vele reacties getuigen meestal niet van deskundigheid, maar van "de klok horen luiden".
.

Ondeskundigheid troef...

1) Firefox heeft veel conservatieve Amerikaanse gebruikers verloren door de affaire met Brendan Eich.

2) De problemen die u beschrijft zijn in de praktijk het typische gevolg van en niet ge-update grafische driver.

3) Het meest treden deze problemen op bij een grafische chipset van het merk Intel. HP en Dell hebben de vervelende
opvatting om driver updates voor hun computer na een of twee jaar voor gezien te beschouwen. Intel levert de updates echter nog wel.

4) Schakel de hardware acceleratie eens uit om te kijken of dit een verbetering geeft.

5) Vertel het merk; type nummer en bouwjaar van uw computer en het merk en type van de grafische chipset, het OS en versienummer van Firefox, dan los ik dat probleem zo voor u op.

Nee in jouw geval heeft dit soort gebruik van religieus kruisvaarder/kruistochten idioom niet met humor te maken, het heeft altijd een doel.

Als je het er niet mee eens bent is een van je tactieken :
- eerst de reactie neerhalen : met gebruik van laatdunkende typeringen over een reactie alvorens eventueel slechts op dat deeltje van een reactie in te gaan dat je uitkomt.
- reageerder neerhalen : de reageerder beledigen en wegzetten als niet serieus te nemen zonder enige onderbouwing, voor van alles en nog wat uitmaken tot aan "[Verwijderd door moderator]" resultaten aan toe.

Respect met humor?
https://www.security.nl/posting/416408#posting416453
Nee, wel gemist door de moderator.

Niet humoristisch en verwijderd
https://www.security.nl/posting/422485/Oracle+stopt+met+beveiligingsupdates+voor+Java+7
25-03-2015, 11:16 door Krakatau - Bijgewerkt: 25-03-2015, 12:42
[Verwijderd door moderator]
Niet vanwege de humor, wel vanwege de geposte termen en religieuze, politieke vergelijkingen.

Laten we maar niet alle zogenaamde grappige reacties onder de noemer van 'het was maar een grapje' reacties langs gaan, reacties waar je altijd weer op diverse wijzen op de persoon speelt en het voorelkaar krijgt al jaren lak te hebben aan de huisregels.

Je "Tjeez…" is daarmee nogal schijnheilig en misplaatst.

Mensen die het niet met u eens zijn, noemt u vaak een "muts".

Als anderen u een "muts" noemen worden ze weggecensureerd door de redactie.

Wees dan zo sportief om dat ook niet te doen.

.

Buiten dat is ondersteunt met een t, maar dat terzijde. ;-)

Mozilla is een van de intitiatiefnemers hiervan: https://letsencrypt.org/
Je krijgt dus gratis een certificaat en het wordt het zelfs mogelijk om het volautomatisch te regelen, inclusief het vernieuwen van certificaten. Zie https://letsencrypt.org/howitworks/. Dat is op Linux gericht, en ze verwachten "mid 2015" operationeel te zijn daarmee, maar er zijn mensen die werken aan Windows/IIS-ondersteuning: https://github.com/letsencrypt/lets-encrypt-preview/issues/116.

Aan je hosting provider kan je vragen of die dat gaat ondersteunen. Zo niet, dan zijn er wellicht andere hosting providers die het wel gaan ondersteunen (klanten: vraag erom!). Hoe dan ook, gratis certificaten zijn al mogelijk en dat wordt alleen maar makkelijker.

Verder lijkt het erop dat het idee is dat in het begin alleen de meest moderne/securitygevoelige mogelijkheden HTTPS-afhankelijk gemaakt worden, om vervolgens langzaam de duimschroeven verder aan te draaien. Hoe ver ze daarin willen gaan is me niet duidelijk, maar ik vermoed dat websites (inclusief je router-instellingen) die geen rare dingen van de client vereisen een grote kans lopen nog ruime tijd of zelfs altijd probleemloos te blijven werken. En als dat niet zo is kan je wachten op de behoefte om uitzonderingen te maken voor specifieke websites en ondersteuning daarvan. Vrijwel iedereen gaat tegen zijn router aanlopen (waar _kraai__ op wees), dat regelt zich echt wel.

Lezen blijft lastig.
Reguliere HTTP pagina's zullen nog steeds benaderbaar zijn, alleen nieuwe features en functies die een security/privacy risico vormen zullen niet meer werken.
Daar naast zal er ongetwijfeld een eenvoudige optie zijn om deze nieuwe features uit te schakelen waarmee je gewoon onbezorgd je prive gegevens weer open en bloot over het web kan sturen.