image

Chrome 62 bestempelt meer http-sites als niet veilig

woensdag 18 oktober 2017, 10:19 door Redactie, 19 reacties

Google heeft Chrome 62 gelanceerd die meerdere kwetsbaarheden in de browser verhelpt en meer http-sites als niet veilig bestempelt. Chrome waarschuwt gebruikers al enige tijd voor http-sites waar wachtwoorden en creditcardgegevens kunnen worden ingevoerd.

Deze waarschuwing is in Chrome 62 uitgebreid naar alle http-sites waar data kan worden ingevoerd en in de Incognito-mode geldt de waarschuwing zelfs voor alle http-sites, ongeacht of er data kan worden ingevoerd. Bij al deze websites zal Chrome 62 in de adresbalk de melding "niet veilig" laten zien. Uiteindelijk zal Chrome ook in de normale mode bij alle http-sites de melding niet veilig tonen. Google wil op deze manier dat meer websites op https overstappen.

Verder zijn er in de nieuwe Chrome-versie 35 kwetsbaarheden verholpen. Via de kwetsbaarheden had een aanvaller in het ergste geval code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. In totaal betaalde Google betaalde externe onderzoekers voor het melden van de beveiligingslekken zo'n 40.000 dollar. Updaten naar Chrome 62.0.3202.62 zal op de meeste systemen automatisch gebeuren.

Reacties (19)
18-10-2017, 10:42 door [Account Verwijderd] - Bijgewerkt: 18-10-2017, 10:48
[Verwijderd]
18-10-2017, 11:22 door Anoniem
En als ze het zelf moeilijk kregen in Mainland China gingen tegen de NSA aanschuren, die gaarne "piggybacked" op de Google data en algoritmen.

Google wil overal transparante gebruikers, maar is op het non-publieke net zelf niet zo transparant.

Wonderlijk dat iedereen dat gedrag zich zo maar laat aanleunen. Eventjes hoorde je "Google don't be evil!" en toen werd het oorverdovend stil.
18-10-2017, 11:46 door Hans van Eijsden
@OpenXOR: wil je hiermee zeggen dat Google geen gelijk heeft? Of is het alleen maar een rant tegen Google?
18-10-2017, 12:00 door Anoniem
Google misbruikt de marktdominatie van de Chrome browser en de zoekmachine om haar visie op het internet door te drukken.

Dit wil ik toch relativeren: Google dwingt in sommige gevallen het gebruik van al langer bestaande open standaarden af. Microsoft daarentegen dwong (dwingt?) het gebruik van de eigen, gesloten technologie af.
18-10-2017, 12:34 door [Account Verwijderd] - Bijgewerkt: 18-10-2017, 13:03
[Verwijderd]
18-10-2017, 12:59 door Anoniem
Met het aanmoedigen van het gebruik van veilige communicatie is niets mis. De vraag is of de ontwikkelaars van Chrome dat met deze waarschuwingen doen. De motivatie is kennelijk dat als je gebruikers steeds weer confronteert met een waarschuwing dan websites overstappen op https. Dat effect lijkt niet realistisch.

Als je gebruikers confronteert met waarschuwingen die voor de gebruiker aanvaardbaar zijn dan negeren ze die waarschuwing en nemen soortgelijke waarschuwingen (die belangrijker zijn) eerder niet meer serieus.

Het nut van veilige communicatie is bewezen, maar veel gebruikers hebben daar bij veel surfgedrag geen merkbaar belang bij. Gebruikers willen surfen en veilig surfen als dat nodig is. Maar die noodzaak merken ze bij het meeste surfen niet, dus is er op die momenten geen behoefte aan constante waarschuwingen. En als je waarschuwingen op momenten dat er geen behoefte aan is maar blijft herhalen dan is het effect dat de waarschuwingen niet belangrijk worden gevonden of zelfs verstopt worden. Dat negeren en verstoppen is voor gebruikers makkelijker en goedkoper dan moeite doen om gehoor te geven aan de massale hoeveelheid aan waarschuwingen.
18-10-2017, 13:11 door Anoniem
Door OpenXOR:
Door Hans van Eijsden: @OpenXOR: wil je hiermee zeggen dat Google geen gelijk heeft? Of is het alleen maar een rant tegen Google?
Ik vind het inderdaad geen goede zet van Google om straks iedere website die niet via HTTPS benaderbaar is, als 'niet veilig' te bestempelen. Neem nou de website van een krant. Is een kranten-website zelf niet veilig zonder HTTPS? {removed to save some space}
MiTM aanvallen zijn makkelijker uit te voeren op HTTP verkeer dan HTTPS verkeer, dus het heeft wel zeker voordelen :]
18-10-2017, 13:30 door Anoniem
Door OpenXOR:
Door Hans van Eijsden: @OpenXOR: wil je hiermee zeggen dat Google geen gelijk heeft? Of is het alleen maar een rant tegen Google?
Ik vind het inderdaad geen goede zet van Google om straks iedere website die niet via HTTPS benaderbaar is, als 'niet veilig' te bestempelen. Neem nou de website van een krant. Is een kranten-website zelf niet veilig zonder HTTPS?
Ik neem aan dat je niet wil dat er met de inhoud/feiten van de krant gemorreld wordt?
Daar is SSL/TLS namelijk ook goed voor.
Om nog maar te zwijgen over code injection via mitm.
18-10-2017, 14:00 door Anoniem
Door OpenXOR:Ik vind het inderdaad geen goede zet van Google om straks iedere website die niet via HTTPS benaderbaar is, als 'niet veilig' te bestempelen.
Ik denk we te maken hebben met een vertaalfoutje. In het Engels is het 'not secure', wat in het Nederlands beter vertaald kan worden met 'niet beveiligd' in plaats van 'niet veilig'. Een verbinding met een website zonder HTTPS hoeft niet onveilig te zijn, maar is wel onbeveiligd. Content die over een onbeveiligde verbinding verstuurd wordt kan overigens wel makkelijker onveilig gemaakt worden door een man-in-the-middle attack.
18-10-2017, 15:41 door Anoniem
als je op een site een form met een submit ziet, dan zou die https meoten zijn lijkt me.
geen forms,. geen login, dan geen https verplichten.
18-10-2017, 16:08 door Anoniem
Door OpenXOR:
Door Hans van Eijsden: @OpenXOR: wil je hiermee zeggen dat Google geen gelijk heeft? Of is het alleen maar een rant tegen Google?
Ik vind het inderdaad geen goede zet van Google om straks iedere website die niet via HTTPS benaderbaar is, als 'niet veilig' te bestempelen. Neem nou de website van een krant. Is een kranten-website zelf niet veilig zonder HTTPS? Het is niet aan Google om te beslissen of een website via HTTPS benaderbaar moet zijn of niet. Ja, bij een HTTP verbinding kan je meeluisteren, maar benoem dat dan. Kunnen meeluisteren is iets anders dan 'niet veilig'. Dat kan overkomen alsof de website kwalijke content aanbiedt, wat niet per se het geval is. En daarbij, bij HTTPS is dankzij SNI ook te achterhalen website website je bezoekt. Dus de privacy-bescherming van HTTPS is beperkter dan vaak wordt aangegeven.

En wat betreft HTTP/2: het is een protocol door Google, voor Google. Tenzij je iets doet zoals Google, heb je geen voordeel van HTTP/2. HTTP/2 is groot en complex, wat het internet alleen maar ingewikkeld maakt. Fijn voor de services van Google, maar totaal overbodig voor alle anderen. Ik weet het, het ligt vooral aan de IETF HTTP Working Group die te laks is geweest om zelf met een voorstel te komen en deze standaard dus bij gebrek aan iets beters heeft goedgekeurd. Maar als Google een beetje minder alleen aan zichzelf dacht, hadden ze nooit SPDY (de voorloper van HTTP/2) als voorstel voor opvolger van HTTP/1.x ingediend. Daarbij, HTTP/1.1 kan prima meer geschikt gemaakt worden. Request pipelining voor sneller doorvoer van requests (staat standaard uit in browsers omdat veel HTTP proxies daar niet mee overweg kunnen) en websockets voor bidirectioneel verkeer (in plaats van de complexe multistream-techniek in HTTP/2).

Zoals je kan lezen in het artikel worden niet alle websites die over HTTP gaan als onveilig gekenmerkt. Alleen als je hier data gaat invoeren zal de website als onveilig gekenmerkt worden.

Daarnaast is het protocol HTTP/2 een afgeleide van SPDY en ontwikkeld door de Internet Engineering Task Force.
18-10-2017, 16:22 door Bitwiper
https biedt, t.o.v. http, fikse aanvullende zekerheid over:
1) De authenticiteit van de webserver (heb ik echt verbinding met de domeinnaam in de URL balk van mijn browser);
2) Bij een OV (Organizational Validation) en vooral EV (Extended V.) certificaat, de identiteit van de website-eigenaar;
3) De vertrouwelijkheid van de uitgewisselde informatie tussen webbrowser en webserver;
4) De integriteit van de uitgewisselde informatie tussen webbrowser en webserver.

Met name de punten 1, 2 en 4 worden vaak over het hoofd gezien - of het nut ervan wordt vaak niet begrepen.
18-10-2017, 16:41 door Anoniem
"Incognito-mode"

Google en incognito???????????????
Serieus?
"Incognito-mode", ga toch fietsen.

Gevaarlijk spul die marketingtaal
18-10-2017, 16:58 door [Account Verwijderd] - Bijgewerkt: 18-10-2017, 17:00
[Verwijderd]
18-10-2017, 17:15 door Anoniem
Maar ook veel https sites maken niet gebruik van "best practices",
zeker sites met mixed content ofwel trackable 3rd party content.
Houdt hier de script blokker bij de hand in je browser.

Zoals - deze webpage gebruikt HTTPS, maar deze bronnen zijn onveilig:
URL Type
http://fotkica.com/thumbs2/109451_tmb_343479479_2013-07-15_205112.jpg image
De hoofdsite beschikte in dit geval niet over HTTP Strict Transport Security, om verkeer te forceren alleen https te gebruiken.
Geen CSP ingesteld. Geen cookies met de secure flag. Same origin wordt gehandhaafd zonder sri-hashes omdat alles van uit een gelijke bron geladen wordt.
Website volgens PSI-DSS.
Security headers geïmplementeerd gedeeltelijk: X-Frame-Options X-XSS-Protection X-Content-Type-Options
Heeft Access-Control-Allow-Origin en dit is nogal permissief en alleen geschikt (CORS) voor bepaalde typen websites.
Sub-domein kan niet worden 'ge-preload".

Certificaat als self-signed als root on de server geïnstalleerd, geen best practice!
DigiCert SHA2 High Assurance Server - TLSv1.2 protocol Google Pilot, Google Aviator en DigiCert 1
Signed Certificate Timestamps (SCTs) - Collected 10 GCM nonces van deze https website

0f017a9269570b52
0f017a9269570b53
0f017a9269570b54
0f017a9269570b55
0f017a9269570b56
0f017a9269570b57
0f017a9269570b58
0f017a9269570b59
0f017a9269570b5a
0f017a9269570b5b

NOT VULNERABLE

This host uses a counter starting with a random value (probably OpenSSL). This is secure.

Zo met wat gebrul van alles over https zijn we nog lang niet in totaal veilig vaarwater, het licht helaas iets complexer.

luntrus
18-10-2017, 17:22 door Anoniem
Google Chrome? Je mag het gebruiken, maar pas op! Het is gratis...
18-10-2017, 17:52 door Anoniem
Door OpenXOR:
Door Anoniem: als je op een site een form met een submit ziet, dan zou die https meoten zijn lijkt me.
geen forms,. geen login, dan geen https verplichten.
Inderdaad, via nu.nl digitaal voor pampus liggen
http://ts.ticketcounter.nl/nunl/ctrl/orderentry/event/a0987cf0-757c-4856-a2f9-e863a54c7923/nl-NL

Helemaal mee eens. Een browser die een waarschuwing geeft bij een formulier via HTTP is zeker goed. Maar een waarschuwing bij een puur informatieve website van de lokale bakker of tennisclub is overdreven.
Er zijn anders diensten die graag willen weten wat het eetpatroon is van sommige mensen, die hebben ook recht op privacy.
Maar het nut van een informatieve bakker om de hoek is laag, daar loop je naartoe.

De site van de tannis clupbe hoort over https te zijn omdat je er lid van bent en natuurlijk een bijbehorend duur account hebt.
Lid van de tannis ben je niet vanwege de tannis maar vanwege de dure vrinden.
En wat duur is dient te worden beschermd, via https bijvoorbeeld.

En als je niet via een of andere vage hotspot gaat browsen, maar gewoon via je eigen directe internetverbinding, dan is de kans dat iemand kwalijke content in je verbinding propt echt zo goed als nul.
Fred flintstone is calling, mensen doen vrijwel alles met de mobiel of tablet en daar zit geen lan kabel aansluiting op.
18-10-2017, 18:39 door Anoniem
Kijk ook even hier naar, certificaat transparentie: https://www.chromium.org/Home/chromium-security/certificate-transparency
19-10-2017, 10:59 door Anoniem
Als het geen HTTPS is, dan zijn er veel problemen die je op de hals kunt halen.

Iemand die al jouw niet-HTTPS verkeer ziet kan een heel goed beeld krijgen van wie jij bent, wat jij doet, etc. Nu er steeds meer HTTPS-websites zijn, zal dat dus minder het geval zijn. Ook al is via analyse nog steeds heel veel te achterhalen.

Tevens voorkom je met HTTPS dat de pagina kan worden aangepast, dus iemand zou het nieuws bericht op de kranten site kunnen aanpassen als je geen HTTPS gebruikt. Over 'fake news' gesproken. ;-)

Maar erger, iemand zou malware kunnen toevoegen aan de krant website, etc.

Zie ook de video, iedereen in de industrie die een beetje verstand van zaken heeft zal hier mee eens zijn:

https://www.youtube.com/watch?v=cBhZ6S0PFCY
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.