Google: Https-campagne voor versleuteld web boekt succes
Ongeveer een jaar geleden kondigde Google aan dat het alle http-websites op internet als 'niet veilig' gaat bestempelen en sindsdien is het aantal websites dat over een beveiligde https-verbinding beschikt sterk gestegen. Volgens Google is het belangrijk dat websites standaard https aanbieden.
"We wilden mensen duidelijk maken wanneer de website die ze bezoeken niet veilig is en tegelijkertijd de eigenaar van de website motiveren om de veiligheid van hun site te verbeteren", aldus Emily Schechter van Google. "We wisten echter dat dit enige tijd in beslag zou nemen." Google besloot daarom om eerst alleen http-sites die wachtwoorden en creditcardgegevens verzamelen als niet veilig aan te merken. Inmiddels is dit uitgebreid naar alle http-sites waar gebruikers data kunnen invoeren. In de Incognito-mode van Chrome worden alle http-sites op dit moment al als niet veilig bestempeld.
Sinds de aankondiging van Google is via https versleuteld Chrome-verkeer op Android-toestellen van 42 procent naar 64 procent gestegen. Op ChromeOS en macOS is inmiddels 75 procent van het Chrome-verkeer via https beveiligd. Een jaar geleden was dat nog 67 procent op ChromeOS en 60 procent op macOS. Verder bieden 71 van de Top 100 websites op internet nu standaard https aan. Een jaar geleden ging het nog om 37 websites.
Een andere belangrijke reden voor de toename van https is Let's Encrypt. Dit is een certificaatautoriteit die gratis tls-certificaten aan websites uitgeeft. Google is dit jaar Platinum-sponsor van Let's Encrypt en heeft aangegeven deze support ook volgend jaar te zullen voortzetten. "Https is eenvoudiger en goedkoper dan ooit tevoren. Er is nog nooit een beter moment geweest om te migreren", aldus Schechter.
https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
Voor het lokale netwerk is HTTPs een ramp. Mijn printer, router, IP cameras etc kan ik nu niet meer benaderen zonder steeds de melding dat dit niet veilig is. Deze "niet veilig" melding veronzekert mensen.
Op mijn printer en router kan ik niet eens https gebruiken. Bij een deel van mijn IP camera's wel, maar bij een deel zit ik vast aan een self-signed certificaat die nog een grotere waarschuwing genereert. Alleen bij de hikvision's kan ik certificaten importeren. Maar ik zie de gewone consument nog niet snel zelf certificaten installeren op deze webservers in hun lan.
Ik snap niet dat Chrome deze melding niet gewoon weglaat voor een apparaat op je lan. Daar is ook wel een mit aanval mogelijk, maar als dat gebeurd vanuit je lan, heb je een groter probleem dan alleen de webpagina's.
Kwisvraag: Waarom bezoeken de mensen op de Chrome versie van de Mac vaker een https site dan de mensen met Chrome op Windows? Je zou toch zeggen dat mac en windows gebruikers naar vergelijkbare sites surfen.
Ook wordt bij https vaak de effectieve veiligheid versluierd en wat er op de achtergrond op het niet-publieke net gebeurt is niet altijd transparent voor de client (browser/eindgebruiker). Wat voor tracking, profilering en surveillance gaat er op de achtergrond ongehinderd door? Wordt de situatie voor de burger wel veiliger of is het alleen maar mascara en theater?
Ik vertrouw bij voorbeeld die "Jan-Keesjes" op de globale infrastructuur voor geen milimeter, ze hebben te vaak een verkeerd verhaaltje opgehangen en onze algemene Internet veiligheid "versjacherd en versteert".
Natuurlijk is het veiligheidsaspect toe te juichen en daar doet Google goed aan, de datastromen verder precies naar de hand van het verdienmodel zetten is wel een tweede. Dat is een andere duistere kant van de zaak, 'gemauw' door overheden over sterkte van encryptie ten spijt. Het wifi-nonce verhaal moet geen "nonsense" verhaal worden.
Ik geef het jullie allemaal te doen.
luntrus
Kwisvraag: Waarom bezoeken de mensen op de Chrome versie van de Mac vaker een https site dan de mensen met Chrome op Windows? Je zou toch zeggen dat mac en windows gebruikers naar vergelijkbare sites surfen.
Ik denk dat Windows gebruikers vaker Telementry uitschakelen.
MacOS is vooral een OS voor digibeten.
Dat kan. Als het security bewuste deel van de gebruikers de Telementry uitzet, zullen juist hun gegevens uit de statistiek wegvallen.
Maar ga je bij het browsen bewust naar sites die alleen https gebruiken en laat de rest liggen? Voor mijn gevoel is dat zo'n klein deel van de windows gebruikers die dit doet dat dit niet het grote verschil verklaart.
Het goede antwoord weet ik niet. Het gaat ook niet om mac/windows gebruikers in het algemeen, maar om dat deel wat bewust kiest om de Chrome browser te gebruiken en niet de standaardbrowser van het OS.
Inderdaad. Het is helemaal niet aan google om te besluiten dat dit moet, laatstaan forceren. Ik begrijp niet dat ze dat google niet opsplitsen.
Ik zie al dat ik hier in de straat, voordeuren ga controleren of ze wel 'naar mijn mening' goede beveiliging hebben, en dan ga publiceren dat de mensen van deze woningen niet te vertrouwen zijn omdat ze niet doen wat ik wil. (Je weet wel misschien een gele ster op de deur plakken etc)
FYI google financiert (ook) het letsencrypt project.
Aangetroffen een failed ruletest.
Getest met 16 scripts hier: https://observatory.mozilla.org/analyze.html?host=www.packetstatic.com vinden we een magere F-graad status en diverse aanbevelingen voor een betere website beveiliging.
Zowel Rockabear als GoDaddy laten hier nogal wat veiligheidssteekjes vallen en proberen met het minimale weg te komen:
http://toolbar.netcraft.com/site_report?url=https://packetstatic.com
We krijgen voor dit adres dan ook gelijk een Google Safebrowsing alarm en een waarschuwing voor mogelijk misbruik door cybercriminelen: -https://packetstormsecurity.org/error/404.html
Analyse van de content die terug kwam van dit uri-verzoek: https://aw-snap.info/file-viewer/?protocol=secure&tgt=packetstatic.com%2Fjs1492100243%2Fpt.js&ref_sel=GSP2&ua_sel=ff&fs=1
Sources and sinks -> http://www.domxssscanner.com/scan?url=https%3A%2F%2Fpacketstormsecurity.org
Dit schijnt wel aardig goed te zitten - DNS http://dnssec-debugger.verisignlabs.com/packetstatic.com
En hieruit blijkt weer dat een Google project en eindgebruiker privacy nog steeds niet goed samen kunnen gaan:
https://privacyscore.org/site/33664/
de json versie: https://privacyscore.org/site/33664/json/ (openstaand voor Lucky13 en BEAST aanvallen).
Zo aan deze "Quick and Dirty" te zien is het bij HTTPS Everywhere nog steeds geen alles Hosannah en lijkt het vooral nog op meer Security through Obscurity.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
