image

Firefox gaat alle http-websites als onveilig weergeven

zaterdag 21 januari 2017, 08:31 door Redactie, 17 reacties

Mozilla Firefox zal alle websites die geen gebruik van een beveiligde verbinding maken als onveilig gaan weergeven. Deze maand wordt er al begonnen met websites die inloggen via http aanbieden. Met de maatregel moet het risico van onbeveiligde verbindingen aan gebruikers duidelijk worden gemaakt.

Dat heeft Mozilla via een blogposting bekendgemaakt. Eerder kondigde ook Google een zelfde maatregel voor Chrome aan. Op dit moment worden http-websites in Firefox nog op neutrale wijze weergeven. Met de lancering van Firefox 51 later deze maand zal dit veranderen als de websites om een wachtwoord vragen. Dan verschijnt er in de adresbalk een doorgestreept slot-icoon.

Als gebruikers op het icoon klikken krijgen ze te zien dat de verbinding niet veilig is. In de toekomstige versies gaat Firefox ook bij het inloggedeelte van http-websites waarschuwen. In de waarschuwing wordt gesteld dat de verbinding niet veilig is en wachtwoorden zo kunnen worden gestolen. "Uiteindelijk zal Firefox voor alle webpagina's die geen https gebruiken een doorgestreept slot-icoon weergeven, om zo duidelijk te maken dat ze niet veilig zijn", aldus Mozilla's Tanvi Vyas.

Reacties (17)
21-01-2017, 09:33 door SecGuru_OTX
Gelukkig zijn ALLE httpS sites "veilig".

Ik ben hier opzich wel een voorstander van, maar het effect van schijnveiligheid ligt hier wel op de loer.

Ik pleit veel meer voor een global website score, b.v. score A,B,C. C=versleutelde verbinding, B=een goede versleutelde verbinding(hsts,strong ciphers,csp,etc,etc) en A= een wekelijks goed bevonden website getoetst door een geautomatiseerde vulnerability scanner obv OWASP top 10 en zonder CVSS hoger dan 3,9. Er moet dan uiteraard wel een centrale VM repository komen.

Uiteraard kunnen er dan nog diverse andere kwetsbaarheden of bedreigingen aanwezig zijn, maar het geeft in ieder geval maar aan dan alleen "veilig" bij httpS. De browsers moeten hiervoor dan wel gaan samenwerken.
21-01-2017, 11:28 door Anoniem
Door SecGuru_OTX: Gelukkig zijn ALLE httpS sites "veilig".

Ik ben hier opzich wel een voorstander van, maar het effect van schijnveiligheid ligt hier wel op de loer.

Ik pleit veel meer voor een global website score, b.v. score A,B,C. C=versleutelde verbinding, B=een goede versleutelde verbinding(hsts,strong ciphers,csp,etc,etc) en A= een wekelijks goed bevonden website getoetst door een geautomatiseerde vulnerability scanner obv OWASP top 10 en zonder CVSS hoger dan 3,9. Er moet dan uiteraard wel een centrale VM repository komen.

Uiteraard kunnen er dan nog diverse andere kwetsbaarheden of bedreigingen aanwezig zijn, maar het geeft in ieder geval maar aan dan alleen "veilig" bij httpS. De browsers moeten hiervoor dan wel gaan samenwerken.
Wie Firefox gebruikt zal merken dat de SSL-handshakes oude stijl niet meer worden geaccepteerd. Hoewel er in de adresbalk https- staat, wordt er toch geen verbinding gelegd tussen server en client. In plaats daarvan krijg je een waarschuwing te zien met foutcode: SSL_ERROR_UNSAFE_NEGOTIATION op je scherm. Dus er wordt wel degelijk iets gedaan, maar het is waar dat niet elke browser hetzelfde doet als Firefox.
21-01-2017, 11:35 door [Account Verwijderd]
Met betrekking tot waarschuwing voor http overdracht van wachtwoorden op https sites bestond een mogelijkheid tot waarschuwing al langer maar je moest dat zelf instellen.

In januari 2016 had ik dit gedaan:
about:config > security.insecure_password.ui.enabled > true,
maar door FF updates? werd die instelling weer teruggebracht naar false.

Ik blijf het vreemd vinden dat Mozilla/Firefox wijzigingen ten behoeve van de gebruiksveiligheid door gebruikers aangebracht via about:config weer op hun default waarde terugzet bij updates zonder daar een waarschuwing voor te geven. Als je een hele webbrowser kunt bouwen moet dat toch niet zo moeilijk zijn.
21-01-2017, 13:56 door Anoniem
Wat betekent hier de aanduiding veilig? Het zegt slechts iets over de verbinding en het betekent dat er verder nog van alles mis kan zijn met (web)server en client en het zegt ook niets over de veiligheid van de betreffende website.

Zo wordt de gebruiker, die niet op de hoogte is waaraan een veilige website technisch moet voldoen wellicht volledig op het verkeerde been gezet.

Ik vond het mozilla initiatief hier wel goed: https://observatory.mozilla.org/ kun je tenminste zien, wat er zoal mis is.

Kijk ook eens waar de log-in nog onveilig gebeurt ook op https sites. Bezoek eens: https://www.eff.org/https-everywhere/atlas/ verhelderend allemaal!

Waar gaat het mis. Op websites die niet onderhouden worden door gekwalificeerde mensen. Hier moet men minimum eisen gaan stellen, zodat ze niet de gehele infrastructuur kunnen verzieken met hun kwetsbaarheden en gevolgen van dien.

Niemand zou meer het Internet op moeten kunnen zonder bepaalde veiligheidsstandaarden. Afgedwongen, ja!
Amateurisme en incompetentie gewoon afvoeren, sinkholen, rickrollen, van het Internet afhalen.

Three strikes out- beleid. Je kunt toch met een voertuig ook niet de weg op zonder geldige papieren.

Security headers leren als verkeersborden, SRI-hashes leren genereren, javascript bijbelles. Echt wat gaan doen!
21-01-2017, 17:15 door Anoniem
Dit is net zoals met Windows een gaatje in een zeef dichten en dan juichen hoe veilig het allemaal wel niet is.

Het internet is net zoals de werkelijke wereld een openbaar gebied, zit je in een trein dan kan je ook iemand anders gesprek horen. Waar men nu mee bezig is het verplichten dat je ieder gesprek in de trein een eigen afzonderlijke geluidsdichte ruimte moet laten plaats vinden, en anders mag je niet met de trein mee.

Te zot voor woorden.

Het lost niets op, de provider kan nog steeds zien waar je naar toegaat / vandaan komt, en daarmee kan de overheid het ook weten. Laat staan mallware die lokaal draait en überhaupt niets met de encryptie te maken heeft.

Vraag me af of die gene die dit verzinnen zelf nog wel buiten durven te komen, stel je voor dat iemand ze ziet.
21-01-2017, 17:58 door Anoniem
Om dit te demonstreren, kijken we naar de beveiliging van deze willekeurige https website
die van Mozilla en ook van Chrome het predicaat veilig kreeg.

SRI rapport: https://sritest.io/#report/2edf32c9-7285-4873-bdd5-813d08fe6dc9 (F-status - 11 problemen).

F F B B- F X status hier: https://observatory.mozilla.org/analyze.html?host=www.libax.com

Dom-XSS scan met sources en sinks: http://www.domxssscanner.com/scan?url=https%3A%2F%2Fwww.libax.com

Status OK hier: http://retire.insecurity.today/#!/scan/31a135ea8c7f6f3468b2db6e112829e0b8f5898580f5a4272d753e31dcaed9b6

2 waarschuwingen hier: https://asafaweb.com/Scan?Url=https%3A%2F%2Fwww.libax.com

Op een DNS query krijg ik "{"status":"Not Found","request_id":"orca.anverino.com/4rxX9jsFEQ-013097","message":"Invalid domain name"}". Daar: Wrong certificate installed.
The domain name does not match the certificate common name or SAN let wel voor orca.anverino.com....

Zie: http://toolbar.netcraft.com/site_report?url=https://www.libax.com

Potentially risky methods: TRACE/ ssl/http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) / OS: Windows; CPE: cpe:/o:microsoft:windows

Dus de verbindingsstatus zegt dus niets over het specifieke beveiligingsniveau van de website in kwestie..
21-01-2017, 19:19 door Anoniem
Het is een menselijke instinct om bij te veel waarschuwingen die geen gevolg hebben deze te gaan negeren. Dan bereik je het omgekeerde: dat de gevraagde extra aandacht omslaat in negeren van het onderwerp. Want gebruikers gaan echt geen websites negeren omdat een browser in 95% van alle sites een waarschuwing geeft. Het idee is leuk, maar het zal mij niets verbazen als gebruikers daardoor zelfs irritant gaan vinden in plaats van de websites zonder https.
21-01-2017, 21:45 door Anoniem
Dus de verbindingsstatus zegt dus niets over het specifieke beveiligingsniveau van de website in kwestie..
Bij https gaat het alleen over server en client en hun uitwisseling van certificaten en Secure Socket Layer handshakes (met alles wat daar nog meer bij komt kijken, inclusief het opzetten van een versleutelde verbinding). Een beveiligde verbinding zegt inderdaad niets over de website in kwestie die op de server gehost is, en hoe veilig die wel zou zijn. Daar zijn inderdaad meer controles voor nodig.
21-01-2017, 23:40 door Anoniem
Door Aha:Ik blijf het vreemd vinden dat Mozilla/Firefox wijzigingen ten behoeve van de gebruiksveiligheid door gebruikers aangebracht via about:config weer op hun default waarde terugzet bij updates zonder daar een waarschuwing voor te geven. Als je een hele webbrowser kunt bouwen moet dat toch niet zo moeilijk zijn.
Had ik ook al gemerkt, dat mijn wijzigingen steeds weer werden teruggezet, daarom update ik Firefox niet meer. Ik hobbel voorlopig nog even door met 45.0.1 en dat gaat prima.
Woopie
22-01-2017, 00:40 door Erik van Straten
De titel
Firefox gaat alle http-websites als onveilig weergeven
is fout. Deze moet luiden:
Firefox gaat alle http-connecties als onveilig weergeven
22-01-2017, 10:46 door Anoniem
Door Erik van Straten: De titel
Firefox gaat alle http-websites als onveilig weergeven
is fout. Deze moet luiden:
Firefox gaat alle http-connecties als onveilig weergeven
Het gaat inderdaad om de connectie tussen server en client.
22-01-2017, 11:01 door Anoniem
Door Anoniem:
Door Aha:Ik blijf het vreemd vinden dat Mozilla/Firefox wijzigingen ten behoeve van de gebruiksveiligheid door gebruikers aangebracht via about:config weer op hun default waarde terugzet bij updates zonder daar een waarschuwing voor te geven. Als je een hele webbrowser kunt bouwen moet dat toch niet zo moeilijk zijn.
Had ik ook al gemerkt, dat mijn wijzigingen steeds weer werden teruggezet, daarom update ik Firefox niet meer. Ik hobbel voorlopig nog even door met 45.0.1 en dat gaat prima.
Woopie
Daarom heb ik altijd twee items in de favorietenbalk staan:
https://www.security.nl/posting/486693/ (vooral voor laptops met ssd-schijven)
https://www.eff.org/deeplinks/2015/10/how-to-protect-yourself-from-nsa-attacks-1024-bit-DH (sterkste crypto gebruiken tegen de NSA)
Bovendien lijkt het mij niet wijs om FF niet te updaten. Er worden n.l. heel wat bugs en kwetsbaarheden per keer opgelost
22-01-2017, 11:22 door Briolet - Bijgewerkt: 22-01-2017, 11:24
Erik, ik heb wel vaker de indruk dat de redactie de verhalen niet eens leest of begrijpt, zodat er een titel boven komt die nergens op slaat.

Ik heb even de settings aangepast zoals Aha hierboven beschrijft. Dan krijg je bij een versie 50 al het gedrag wat 51 straks gaat krijgen. Als ik naar de inlogpagina van mijn router ga, zie ik dat doorgestreepte slotje. Wanneer ik naar de settingspagina van mijn netwerkprinter ga, dan is er geen slotje. Maar als ik door de settings loop en een pagina heb waar je een wachtwoord moet invullen, dan komt dat doorgehaalde slotje er wel.

Het symbooltje van een doorgestreept slot slaat duidelijk op het ontbreken van een slotje. En als je dat aanklikt staat er zeer duidelijk dat de verbinding niet veilig is. Hier doet Firefox het goed. Bij Chrome zou je kunnen denken dat het wel over de website gaat.

Ik vraag me af of het zal gebeuren dat de meeste apparaten met webinterface, die alleen voor intern gebruik bedoeld zijn, een eigen certificaat krijgen. Ik heb IP cameras waar je wel eigen certificaten op kunt zetten, maar bij de meeste niet. En ik vraag me af of de meeste gebruikers van routers, netwerkprinters etc zelf met certificaten aan de slag zullen gaan.
22-01-2017, 17:00 door Anoniem
Door Anoniem, 22-01-2017 11:01: Daarom heb ik altijd twee items in de favorietenbalk staan:
https://www.security.nl/posting/486693/ (vooral voor laptops met ssd-schijven)
https://www.eff.org/deeplinks/2015/10/how-to-protect-yourself-from-nsa-attacks-1024-bit-DH (sterkste crypto gebruiken tegen de NSA)
Bovendien lijkt het mij niet wijs om FF niet te updaten. Er worden n.l. heel wat bugs en kwetsbaarheden per keer opgelost
Ik ben het volkomen met je eens, maar moet in dit geval kiezen tussen 2 kwaden. Het werk, wat ik heb aan alles terugzetten is veel meer, dan het risico lopen met een outdated FF. Ik kies bewust voor de laatste...
23-01-2017, 00:05 door Anoniem
Soms is de connectie veilig maar is er toch onveiligheid, waardoor een groen slotje niet moet worden getoond.
Bijvoorbeeld bij een onveilige form-call met een hard-gecodeerde URL als bestemming
hoort het groene slotje achterwege te blijven.

Ik zie in dat geval toch een veilige connectie aangeduid.

Tweede voorbeeld Deze site kan geen beveiligde verbinding leveren

server-bla-bla-bla-s.r.cloudfront.net gebruikt een niet-ondersteund protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Root installed on the server.
For best practices, remove the self-signed root from the server.
RSA remove cross certificates
The certificate chain contains a cross root (primary intermediate) certificate that should be removed, soremove cross root certificates.
This server is vulnerable to:
Heartbleed
This server is vulnerable to Heartbleed.

En toch vrolijk weer zo'n groene padlock in de URL balk van de browser.

Deze veilig alerts zijn is in zo'n geval m.i. zuiver cosmetisch en bedoeld om het doorklikken zonder argwaan te bevorderen.
Zo krijgt de grote massa nooit kijk op ware (on)veiligheid, prachtig voorbeeld van "security through obscurity".
Ware meesters zijn het hierin. Fijn dat we er dankzij security.nl en de vragen die men hier stelt achter komen.

luntrus
23-01-2017, 13:39 door Anoniem
Het wordt pas echt leuk als ze een popup tonen, dat wordt wat voor http://www.nu.nl ....
19-02-2017, 21:35 door Anoniem
https:www.startpagina.nl wordt als onveilig getoond, dus alle https sites veilig klopt niet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.