image

Mozilla: Bijna helft 1 miljoen populairste websites gebruikt https

zaterdag 1 juli 2017, 06:53 door Redactie, 3 reacties

Bijna de helft van de 1 miljoen populairste websites op internet maakt gebruik van https, zo blijkt uit onderzoek van Mozilla. De opensource-ontwikkelaar keek naar de Alexa Top 1 Million Websites en het gebruik van verschillende beveiligingsmaatregelen, zoals https, hsts en Content Security Policy.

Vorig jaar april beschikte 29,6 procent van de websites over een ssl-certificaat. Een half jaar later in oktober was dit naar 33,6 procent gestegen. Deze maand voerde Mozilla een nieuwe meting uit en zag dat 45,8 procent van de websites via https is te bezoeken. "Hoewel een 36 procent toename van websites die https ondersteunen klein lijkt, zijn de absolute getallen vrij groot. Het gaat om meer dan 119.000 websites", zegt Mozilla's April King. Verder blijkt dat 93.000 van die websites nu standaard via https zijn te bezoeken, waarbij er 18.000 toegang via http verbieden.

Tevens was er een sterke procentuele toename van websites die van Content Security Policy (CSP) gebruikmaken. CSP is een maatregel die cross-site scripting (xss), clickjacking en soortgelijke aanvallen moet voorkomen. Via CSP kunnen beheerders domeinen opgeven die de browser als geldige aanbieder moet beschouwen voor het uitvoeren van scripts. Een browser die CSP ondersteunt zal dan alleen nog maar bestanden uitvoeren die afkomstig zijn van domeinen op de whistelist en alle andere scripts negeren. Ondanks de procentuele toename maken de meeste websites op het web nog altijd geen gebruik van CSP.

Image

Reacties (3)
01-07-2017, 14:37 door Anoniem
Klopt

Kijk maar
https://observatory.mozilla.org/analyze.html?host=security.nl
Test || Pass || Score || Explanation

Content Security Policy || X || -25 || Content Security Policy (CSP) header not implemented

Enneh,.. oeps, tja
https://observatory.mozilla.org/analyze.html?host=mozilla.org
Test || Pass || Score || Explanation

Content Security Policy || X || -20 || Content Security Policy (CSP) implemented unsafely.

This includes 'unsafe-inline' or data: inside script-src, overly broad sources such as https: inside object-src or script-src, or not restricting the sources for object-src or script-src.

Misschien eerst maar eens de eigen site op orde brengen dan mzzzzzla?
Gratis perspraatjes vullen immers geen gaatjes.
01-07-2017, 14:39 door Anoniem
@ website security lieden....

The stack is a bitch!

HTTPS:// natuurlijk een belangrijke maatregel, zoiets als het opzetten van een plastic bril bij het afsteken van vuurwerk.
Scheelt een heleboel narigheid later als het goed fout zou gaan. Maar veel mensen met bravoer zijn te stoer voor zo'n bril en missen daardoor later wel een gedeelte van hun gezichtsvermogen. Eigen schuld dus vaak.

Toch blijft het https-everywhere project in een heleboel opzichten m.,i. toch meer een kosmetische oplossing dan iets anders. Ook gaat het met de automatische http naar https redirects nogal eens mis.

Kijk maar eens hier waar een heleboel andere zaken toch mis zijn: https://www.eff.org/https-everywhere/atlas/
voorbeeld van iets "disabled by default": https://www.eff.org/https-everywhere/atlas/domains/openstreetmap.org.html

De veilige verbinding is dan wel gewaarborgd, net zoals dat we thuis de gordijnen dichttrekken, maar wat er achter deze gordijnen zich nog aan onveiligheid bevindt, dat zou ons eigenlijk meer zorgen moten baren. Vaak veiligheid tot de knop van de rack-console deur.

We worden met een groen slotje in slaap gesust vaak. Daarachter kan de gevaarlijke cloud zitten, het gratis sub-domeintje, dat zo maar in andere handen kan vallen en nog veel meer 'kosten gaan voor de baat uit ' en 'de rekening zit onder in de zak' issues. Wat gebeurt aan de andere zijde van het scherm van uw device?

En dat is nog al wat aan gebreken, gezien het percentage van geimplementeerde veiligheidsmaatregelen bij gebruikte webtechnieken. Zie de grafiek in het bericht van de redactie.

Laten we de m- & p-developers eerst eens 'security savvy' maken en vervolgens de anderen die met websites omgaan, maar op de een of andere manier wordt dat altijd gefrustreerd, er zijn namelijk griezelig grote belangen om de infrastructuur alleen maar wat veiliger te laten lijken met pret certificaatjes als root op de server bijvoorbeeld en best policies die elkaar bij verschillende platformen in de weg lijken te zitten en dat ook werkelijk doen.

Excessieve server info proliferatie bij onveilige naamservers. Een immens probleem ook naar hogerop in de structuur.
Sommige dingen die in het netwerk hangen, maken "de hele omgeving" onveilig, zoals bij Poodle etc.

Doe maar eens een asafweb scannetje of een shodannetje of een Dazzlepod ip scan.

Wat doen we met kwaadaardig DNS? Zie: https://www.theregister.co.uk/2016/02/16/glibc_linux_dns_vulernability/
Random voorbeeldje: http://www.dnsinspect.com/ns1.com/10056192

Wat doen we met CMS onveiligheid? - bij voorbeeld hackertarget.com/wordpress-security-scan/
en hier - random voorbeeld: https://www.magereport.com/scan/?s=https://hacmint.com/

Wat doen we met af te serveren script libraries?: http://www.dnsinspect.com/ns1.com/10056192

Wat doen we dan vervolgens op dit vlak als we iets vinden?: https://sritest.io/
en ook hier: https://observatory.mozilla.org/

En belangrijk de sources & sinks, waar we hier op kunnen stuiten: http://www.domxssscanner.com/

Mij lijkt het soms onbegonnen werk en daarom wordt targeted cyberwar thans zo succesvol.

Waar gaat de omslag aanvangen en wie gaan dit doen of gaan we dit echt nooit beleven?
Komen we niet verder als stammenstrijd en OS-flame wars,
zonder te kijken wat we kunnen doen, waar en wanneer.

luntrus
01-07-2017, 23:52 door [Account Verwijderd]
Jammer dat nu.nl hier niet bij hoort. En maar klagen over adblockers, maar een secure login bieden doen ze niet. Ook reageren ze niet op verzoeken om https te implementeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.