image

Firefox waarschuwt ontwikkelaars voor wachtwoorden over http

zaterdag 30 januari 2016, 12:11 door Redactie, 9 reacties

Een speciale editie van Firefox voor webontwikkelaars geeft tegenwoordig een waarschuwing als websites wachtwoorden en gebruikersnaam onbeveiligd via http over het internet sturen. Volgens Mozilla horen websites zorgvuldig met dit soort gegevens om te gaan.

Toch komt het nog regelmatig voor dat er een onbeveiligde verbinding zoals http wordt gebruikt, aldus de opensourceontwikkelaar. Om webontwikkelaars voor dit beveiligings- en privacyprobleem te waarschuwen toont de Firefox Developer Edition voortaan een grijs slot-icoon met een rode streep erdoorheen. Om te kijken of een wachtwoordveld waar gebruikers hun wachtwoord moeten invoeren veilig is kijkt Firefox naar de pagina waar het aan is toegevoegd en of die kwetsbaar is voor man-in-the-middle-aanvallen.

Daarbij is het niet voldoende dat het wachtwoord alleen over https wordt verstuurd, de pagina zelf moet hier ook gebruik van maken. In het geval van een actieve man-in-the-middle-aanval zouden gebruikers bij alleen het versturen van de informatie over https, terwijl de pagina zelf over http wordt geladen, nog steeds risico lopen. Vooralsnog richt Mozilla zich met de waarschuwing op webontwikkelaars, maar gebruikers van andere Firefox-versies kunnen dit wel zelf inschakelen. Hiervoor moet eerst about:config in de adresbalk worden ingevoerd, waarna de optie "security.insecure_password.ui.enabled" moet worden aangepast.

Reacties (9)
30-01-2016, 12:28 door Anoniem
Kijk dat is tenminste nuttig en redelijk gedrag, in plaats van die "alles moet https" paniekerij van Google.
30-01-2016, 13:01 door Anoniem
Een aantal jaren geleden had zelfs Security.NL dit nog (en werden de wachtwoorden voor verzending met MD5 gehasht...) Dan is er toch wel wat verbeterd de laatste tijd.
30-01-2016, 13:04 door [Account Verwijderd]
Prima informatie. Dank!
Zojuist waarschuwing van false naar true ingesteld (FF44) en getest bij een grote HTTP webshop:
http://www.bax-shop.nl/
Krijg meteen na laden van de pagina links naast de URL-balk een grijs hangslotje te zien met een rode streep erdoor.
30-01-2016, 14:30 door Anoniem
Goed initiatief van Mozilla!
Voor Google Chrome is dit ook te controleren met twee fijne extensies. "Safer Chrome" waarchuwt hier voor hetzelfde:
Bijvoorbeeld hier: NineForNews.nl - Vrij en onafhankelijk nieuws padlock icon
-www.ninefornews.nl
Alerts (1)
Insecure login (1)
Password will be transmited in clear to -http://www.ninefornews.nl/sponsors/login
Infos (1)
Encryption (HTTPS) (1)
Communication is NOT encrypted
Statistics
Images 0 External JS 0
Background images 0 External CSS 0
Objects (Ex: Flash...) 0 IFrames 0

En dan is er "Tracker SSL": 62% of the trackers on this site could be protecting you from NSA snooping. Tell -ninefornews.nl to fix it. Unique IDs about your web browsing habits have been insecurely sent to third parties.

v1%3a144339xxxxx2714185 Twitter guest_id
-local.adguard.com __cfduid

At least 16 third parties know you are on this webpage.

Automattic
Google
Automattic
Automattic
-connect.facebook.net Facebook
Twitter
Google
Google
-Amazon.com
Google
-www.ninefornews.nl
-local.adguard.com (de Adguard extensie van mijn laptop en in mijn browser)
Google
- www.weeronline.nl
- ninefornews.shclient.nl
-www.mustbebuilt.co.uk (extensie bw)

Al degenen die website onderhouden zouden hiervan toch op de hoogte moeten zijn en hier iets aan doen.
Verder dienen hosters en providers hier ook aandacht voor te vragen.
30-01-2016, 14:58 door Anoniem
Zolang browsers eerst een plain text password proberen en pas daarna een hash, maken ze het wel heel makkelijk wachtwoorden te stelen.
30-01-2016, 15:56 door MeowSec
dat doet lastpass al een heletijd. als er een login form is dat niet over https gaat krijg ik een melding.
Helpt natuurlijk niets ter bescherm voor mij zelf maar kan wel de site bv een bericht sturen en als iedereen dat doet dan veranderen ze het misschien wel.

@12:28 door Anoniem:
hoezo redelijk gedrag het zou eigenlijk al JAREN zo moeten zijn dat devs dat doen. bij alles wat ik de laatste jaren allemaal test/maak wordt het ook meteen met https gedaan. Vaak krijg ik dan te horen dat het niet nodig is en dan leg ik het uit en is het inorde.

omdat Devs dat niet doen wil FF het proberen te forceren net als chrome maar op een andere manier. Google is meer dat het gedwongen word anders krijg je geen groen slotje/balkje etc dat is goed. en voor FF is het meer vrijblijvend.
30-01-2016, 16:28 door karma4
Waarom niet eens een keer die user/passwords als heilige security graal ten grave dragen.
Dan meteen de indentficatie/authenticatie met een session awareness in een standard protocol opnemen .... HTML 6 ?
30-01-2016, 20:09 door [Account Verwijderd]
Door karma4: Waarom niet eens een keer die user/passwords als heilige security graal ten grave dragen.
Dan meteen de indentficatie/authenticatie met een session awareness in een standard protocol opnemen .... HTML 6 ?

Met betrekking tot je eerste opmerking zeg je vergelijkbaar: Oude schoenen weggooien voor je nieuwe hebt aangezien je daaraan gekoppeld je bijdrage afsluit met een vraagteken aangaande een imaginair alternatief.
30-01-2016, 20:29 door karma4
Door Aha:
Met betrekking tot je eerste opmerking zeg je vergelijkbaar: Oude schoenen weggooien voor je nieuwe hebt aangezien je daaraan gekoppeld je bijdrage afsluit met een vraagteken aangaande een imaginair alternatief.

Als je voor vernieuwing en modernisering bent moet je met ideeën en voorstellen komen.
In de html 5 standard is niets over deze zaken opgenomen. Met die open standaarden in commissie heb je wel de plek waar wat kan gebeuren. na 5 komt 6 net zoals er eerdere html versie bestonden.

Waarom ben jij zo tegen verandering? Als er geschreeuwd wordt dat de api's het zijn .... of een smartphone of ...
Dat users/password als methologie in de basis zwak zijn is sinds de beginjaren bekend.
https://www.sans.org/reading-room/whitepapers/basics/password-security-thirty-five-years-35592
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.