image

Chrome voorziet https-websites van label "Secure"

donderdag 5 januari 2017, 09:36 door Redactie, 21 reacties

Chrome is begonnen om websites met een beveiligde verbinding naast een groen slot-icoon ook van het label "Secure" te voorzien. Google is al enige tijd bezig om het gebruik van ssl-certificaten onder websites te bevorderen. Https voorkomt namelijk het afluisteren van verkeer door derden.

Daarnaast helpt het internetgebruikers om de website in kwestie te identificeren. Om websites aan te moedigen ook https te gebruiken indexeert de Google-zoekmachine inmiddels standaard de https-versie van websites en zal de volgende Chrome-versie websites die wachtwoorden en creditcardgegevens via het onbeveiligde http verzamelen als "niet veilig" gaan weergeven. Uiteindelijk wil Google alle http-websites als "niet veilig" bestempelen.

Door in de adresbalk nu standaard Secure weer te geven verkleint Google echter het verschil tussen normale ssl-certificaten en extended validation (ev) ssl-certificaten. Net als normale ssl-certificaten versleutelen ook deze certificaten het verkeer tussen website en bezoekers en helpen ze bij de identificatie. Het grote verschil is dat bij een ev-ssl-certificaat de aanvrager van het certificaat in de adresbalk van de browser wordt weergegeven. Daarnaast worden ze na een strengere controle afgegeven en zijn ze veel duurder in aanschaf.

Image

Reacties (21)
05-01-2017, 09:53 door linuxpro
Goede actie, privacy / security bewustwording bij de gemiddelde websurfer verhogen is prima. Nu hopen dat andere browser 't voorbeeld volgen. Hoop dat gebruikers eigenaren van niet https sites gaan vragen gaan stellen en er zo meer en meer https gebruikt gaat worden. Indirect effect kan zijn dat cms-en en webservers ge-update worden.
05-01-2017, 10:12 door [Account Verwijderd]
Geen bron? Zelf gezien in de browser redactie? Wat is het versie nummer waar jullie op zitten? Ik heb nml geen updates voor chrome, en heb dit label nog niet.
05-01-2017, 10:15 door Anoniem
Gemengde gevoelens bij. Veel gebruikers zullen niet snappen wat de betekenis van "secure" gaat zijn. Biedt makkelijker de mogelijkheden om louche websites via letsencrypt van een "secure" label te voorzien, en mensen nóg makkelijker in phishing te laten trappen.
05-01-2017, 10:45 door Anoniem
Door Mindfart: Geen bron? Zelf gezien in de browser redactie? Wat is het versie nummer waar jullie op zitten? Ik heb nml geen updates voor chrome, en heb dit label nog niet.

Bij mij staat er veilig. Versie 55.0.2883.87 m
05-01-2017, 11:24 door Secu_jay
Door Anoniem:
Door Mindfart: Geen bron? Zelf gezien in de browser redactie? Wat is het versie nummer waar jullie op zitten? Ik heb nml geen updates voor chrome, en heb dit label nog niet.

Bij mij staat er veilig. Versie 55.0.2883.87 m
Zelfde versie, geen tekst (diverse sites gechecked).
05-01-2017, 12:07 door Vixen - Bijgewerkt: 05-01-2017, 12:08
Door Secu_jay:
Door Anoniem:
Door Mindfart: Geen bron? Zelf gezien in de browser redactie? Wat is het versie nummer waar jullie op zitten? Ik heb nml geen updates voor chrome, en heb dit label nog niet.

Bij mij staat er veilig. Versie 55.0.2883.87 m
Zelfde versie, geen tekst (diverse sites gechecked).

Versie 55.0.2883.87 m (dezelfde) hierzo, en ik heb wel 'veilig' erbij staan. (sinds vandaag)
05-01-2017, 12:41 door Anoniem
Door Anoniem: Gemengde gevoelens bij. Veel gebruikers zullen niet snappen wat de betekenis van "secure" gaat zijn. Biedt makkelijker de mogelijkheden om louche websites via letsencrypt van een "secure" label te voorzien, en mensen nóg makkelijker in phishing te laten trappen.
Een leek weet niet dat "secure" alleen gaat over de beveiliging van de verbinding en niets te maken heeft met de beveiliging of, nog belangrijker, de betrouwbaarheid van de website. Daarom vind ik dit een slechte ontwikkeling.
05-01-2017, 13:38 door Anoniem
Door linuxpro: Goede actie, privacy / security bewustwording bij de gemiddelde websurfer verhogen is prima.
ehhh?

Als dat het doel was zou google haar eigen browser voor al het internetverkeer dienen te blokkeren.
Nog even flink dooroefenen voor de status 'browserpro'.

Sluikreclame in de captchacode geconstateerd: 3Tccd66
In groene letters ook nog!
05-01-2017, 14:05 door Anoniem
Ik vind dit ook een mindere ontwikkeling.
Geeft een vertekend beeld voor de niet techneuten op het web (en dat zijn er meer dan wel techneuten).
Een phising site met een geldig certificaat is niet "Veilig".
05-01-2017, 14:23 door Anoniem
55.0.2883.87 m + Secure
05-01-2017, 14:30 door Briolet
Ik zie dit ook als een kwalijke zaak. Voor experts maakt de melding niets uit, maar de massa zal denken dat het op de website slaat en niet op de verbinding zelf. Alleen een groen slot is wat dat betreft veel eenduidiger.

Ik heb overigens versie 55.0.2883.95 en zie géén Secure in de adresbalk bij deze site. In mijn geval de mac versie die zelfs een hoger versienummer aangeeft dan de windows? versie.
05-01-2017, 14:37 door [Account Verwijderd]
Ah, chrome geeft zo te zien voor deze update niet aan dat de browser moet restarten. Maar na een restart van chrome staat er nu wel secure. (Version 55.0.2883.87 m)
05-01-2017, 14:50 door Anoniem
Want een malafide website met https is veilig...
05-01-2017, 16:00 door Anoniem
In de Android versie ook nog niks...
05-01-2017, 16:20 door Anoniem
'ja, duhhh
http://secure.security.nl is gewoon een subdomein van security.nl zelf!
Lekker makkuluk'


;)
05-01-2017, 18:06 door Anoniem
L.S.

Ja, je zal toch tot een weergave van de technische website beveiligingsstatus moeten komen
om werkelijk te laten zien hoe het met de website beveiliging van een bepaalde website staat.
60% valt dan onherroepelijk door de mand.

Verder kan die dan ook nog onveilig gehost worden of onveilig in de cloud zitten
of anderszins een probleem hebben.

Kijk bijvoorbeeld voor security.nl eens wat de site nog tekort komt om van 'best practices' te kunnen spreken.

We leggen de lat bewust wat hoger nu.

Dan komen we uit op niet meer als een teleurstellende C+ en wat magere F-jes, een enkel A-tje uitgezonderd:
-> https://observatory.mozilla.org/analyze.html?host=www.security.nl

Hier zit het wel goed met de 'same origin policy handhaving'
->: https://sritest.io/#report/1063c9f6-e8da-4864-bfda-dff631ea0a50

Hier kan er ook nog wel wat verbeterd worden: -https://www.security.nl
Detected libraries:
jquery - 1.7.2 : (active1) -https://www.security.nl/js/jquery/jquery.securitynl.js?1375741199
Info: Severity: medium
http://bugs.jquery.com/ticket/11290
http://research.insecurelabs.org/jquery/test/
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code
1 vulnerable library detected

Kijken we hier: http://www.cookiechecker.nl/check-cookies.php?url=www.security.nl zien we
als 'best practices' bij cookies alleen secure attr gezet bij session id en http only attribute,
voor de rest worden geen 'best paractices' gebruikt.

En hier hebben we het nog over een site met een beveiliging, die een beetje boven in het segment zit.
Niet om je direct zorgen over te maken en zeker niet kwaadaardig of anderszins risicovol
en niet zoals de rest met grote kwetsbaarheden ondanks dit nieuwe 'groene slotje'.

Wil je de normale gebruiker wat wijsmaken en in slaap sussen voor de werkelijke situatie,
moet je het vooral zo gaan doen op de "wij van WC-eend'-manier....

Als je werkelijk de lat wat hoger gaat leggen, valt er nog veel meer door de mand
en zit je je als iemand met relevante kennis dagelijks dood te ergeren
aan de incompetentie en de arrogantie der onwetendheid.

Gaan we websites toch wat veiliger inrichten?
05-01-2017, 20:48 door Anoniem
Door Anoniem: Gemengde gevoelens bij. Veel gebruikers zullen niet snappen wat de betekenis van "secure" gaat zijn. Biedt makkelijker de mogelijkheden om louche websites via letsencrypt van een "secure" label te voorzien, en mensen nóg makkelijker in phishing te laten trappen.

Dat waren ook mijn gedachten.
Secure is misleidend, het is veel te generiek.

"Versleutelde verbinding" zou in het Nederlands de lading het beste dekken.
Bij EV dan:
"versleutelde verbinding met Banknaam".

Dan is het verschil tenminste weer duidelijk.
05-01-2017, 20:59 door Anoniem
Chromium 57.0.2974.0 (64-bit) geeft ook (Un)Secure.
05-01-2017, 21:52 door Anoniem
Secure heeft niets met betrouwbaarheid te maken.
dat ieder loop te scheeuwen dat die niet goed is moet gewoon zijn /haar mond houden.

zelfs een site als secureity.nl kan secure wezen maar nog steeds heel onbetrouwbaar.

en als er niets gebeurd dan gebeurd er ook niets en gaa we ook niet vooruit. elk goed ding heeft een slecht ding en anders om ook
06-01-2017, 06:46 door Anoniem
De zeer regelmatige mailings welke ik in 2016 over het nu 'moeten' kopen van een certificaat voor alle websites omdat anders geen enkele browser meer mijn websites zou vertrouwen in 2017 gaven mij een nare bijsmaak. Sites moeten veiliger daar mee eens, maar dit rook toch echt naar geld proberen te verdienen aan een FUD campagne. Frits
06-01-2017, 10:18 door [Account Verwijderd]
Door Anoniem: Secure heeft niets met betrouwbaarheid te maken.
dat ieder loop te scheeuwen dat die niet goed is moet gewoon zijn /haar mond houden.

zelfs een site als secureity.nl kan secure wezen maar nog steeds heel onbetrouwbaar.

en als er niets gebeurd dan gebeurd er ook niets en gaa we ook niet vooruit. elk goed ding heeft een slecht ding en anders om ook

Euhm, ik vind dat jij je mond moet houden =)

Een betrouwbare website over een http verbinding is niet meer betrouwbaar namelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.