Nieuws
image

Google Chrome gaat meer http-sites als onveilig weergeven

vrijdag 28 april 2017, 20:33 door Redactie, 6 reacties
Laatst bijgewerkt: 29-04-2017, 20:22

Google heeft besloten meer http-sites waar gebruikers informatie kunnen invoeren als onveilig weer te gaan geven. Op dit moment verschijnt er bij http-sites waar gebruikers hun wachtwoord of creditcardgegevens kunnen invoeren al de melding "onveilig" in de adresbalk. In oktober van dit jaar zal dit ook gelden voor alle http-sites waar gebruikers data kunnen invoeren en voor alle http-websites die via de Incognito-mode van Chrome worden bezocht.

Uiteindelijk wil Google alle http-sites die Chrome-gebruikers bezoeken, ongeacht invoermogelijkheden en modus, als onveilig bestempelen. Sinds Google in Chrome 56 met de maatregel begon om gebruikers voor http-sites met inlogvelden voor wachtwoorden en creditcardgegevens te waarschuwen is het aantal bezoeken naar dergelijke pagina's met 23 procent afgenomen. "Wachtwoorden en creditcards zijn niet de enige soorten data die privé zouden moeten zijn. Alle soorten gegevens die gebruikers op websites invoeren moeten niet voor anderen toegankelijk zijn. Vanaf Chrome 62 zullen we dan ook de "Onveilig" waarschuwing tonen als gebruikers gegevens op http-sites invoeren", aldus Emily Schechter van het Chrome Security Team.

Reacties (6)
28-04-2017, 20:38 door Anoniem
Als op Google Chrome ingetrokken certificaten niet tot geblokkeerde sites leiden neem ik hun beveiligingsstreven met een kolossale korrel zout.
28-04-2017, 22:51 door Anoniem
Google en Facebook samen goed voor 99 % van de advertentie inkomsten op het Interweb.
Dit blijft de core-business van deze globale spelers en de rest is make-up en een veiligheidsdoekje voor het bloeden.

Eerst https everywhere, dan overal gratis certificering, die allemaal vooraf al in de browser is ingebed.
Wat niet gezien moet worden, blijft buiten beeld in de cloud. Niemand gaat de veiligheid van alle naamservers testen.

Hoeveel DROWn, CloudBleed, etc. hangt er nog rond? Wat is er aan inherente onveiligheid hard-coded aanwezig? RegexP, waar het slechte en het kwade elkaar ontmoeten (php en evil hard-coded reguliere expressies bij voorbeeld).

Daar waar alleen input output validatie uitsluitsel geven. Wie analyseert alle logs, wie ziet wat er allemaal open staat?

In incognito mode hoef je geen https te hebben, en een waarschuwing blijft een waarschuwing en betekent nog geen blokkering. De afstomping van de eindgebruiker gaat zo steeds verder, terwijl de alerts alleen wat schijnen te zeggen over de aard van de verbinding. Voor mij, wat dit betreft, too little and vooral too late.
29-04-2017, 13:36 door Anoniem
De stormloop op gratis Let's Encrypt-certificaten is ook zoiets. Zeker 75% van die nieuwe https-websites bevatten op zijn minst één beveiligingskwetsbaarheid. Het doet me denken aan mensen die penicilline en andere antibiotica slikken, denken daarmee virussen de baas te zijn, maar immune varianten in eigen lijf kweken en dus nog kwetsbaarder eindigen dan toen ze begonnen met hun kwakzalverij.
29-04-2017, 14:04 door Anoniem
Incognito surfen en inloggen op wachtwoordbeveiligde websites gaat niet samen. Google Authenticator kan helpen een eigen 2-staps authenticatie op te zetten. 2-staps authenticatie kun je het beste laten verlopen via een foon waarmee je nooit op internet inlogt. Maar zoals Trusteer me al in één dag duidelijk maakte: ben je eenmaal gehackt gebruikt men keyloggers, schermafbeeldingen, vervalste websites en tekenvervalsingen om je inlogcodes en gebruikersnamen te ontfutselen. En ongetwijfeld nog meer wat nog niet onthuld is.
29-04-2017, 14:21 door Briolet
Door Anoniem: Het doet me denken aan mensen die penicilline en andere antibiotica slikken, denken daarmee virussen de baas te zijn.
Schoenmaker, blijf bij je leest. Antibiotica dood geen virussen en kan derhalve ook niet de ontwikkeling van immune varianten bevorderen.
29-04-2017, 18:14 door Anoniem
Door Briolet:
Door Anoniem: Het doet me denken aan mensen die penicilline en andere antibiotica slikken, denken daarmee virussen de baas te zijn.
Schoenmaker, blijf bij je leest. Antibiotica dood geen virussen en kan derhalve ook niet de ontwikkeling van immune varianten bevorderen.
Wel verwijten en niet verbeteren en dan op security.nl denken iets zinnigs bij te dragen? Spiegeltje spiegeltje aan de wand ...

Aanrader voor iedereen: maak van https://www.ssllabs.com/ssltest/viewMyClient.html je startpagina in elke browser die je gebruikt. Ik heb het stil gehouden, maar IE11 vertoonde laatst een Logjam-kwetsbaarheid. Natuurlijk meteen gerapporteerd - responsible disclosure - aan Microsoft. Een centraal bedrijf op ICT-vlak dat alleen tijdens kantoortijden bereikbaar is ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure