image

Firefox krijgt optie om alle http-sites als onveilig te bestempelen

maandag 18 december 2017, 17:52 door Redactie, 14 reacties

Mozilla heeft aan een vroege testversie van Firefox 59 een optie toegevoegd om alle http-sites als onveilig te bestempelen, zo meldt webontwikkelaar Soeren Hentzschel. Firefox waarschuwt nu al bij http-websites die zonder een beveiligde verbinding inlog- en creditcardgegevens verwerken.

Begin dit jaar maakte Mozilla al bekend dat het op den duur alle http-sites als onveilig in de browser gaat aanmerken. Al eerder waren de ontwikkelaars van de browser hiermee bezig. "De uitrol van https krijgt momentum en is de 50 procent gepasseerd. We moeten voorbereidingen treffen om http-sites als onveilig aan te merken, in plaats van https-sites als veilig aan te merken. Een eerste stap is een negatieve indicator voor alle http-sites, afgeschermd door een instelling die standaard uitgeschakeld staat", aldus Mozilla's Richard Barnes in het ticket waarin de maatregel wordt aangekondigd.

Via de instelling "security.insecure_connection_icon.enabled" kunnen gebruikers van de testversie van Firefox 59 nu instellen dat de browser bij http-sites een icoon met een rode streep laat zien. Als gebruikers op het icoon klikken verschijnt er een pop-up die uitlegt dat de verbinding naar de website niet beveiligd is. De definitieve versie van Firefox 59 staat gepland voor 13 maart 2018. Onlangs liet Let's Encrypt weten dat van alle websites die Firefox-gebruikers dit jaar opvroegen 67 procent via een beveiligde https-verbinding werd aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden.

Reacties (14)
18-12-2017, 20:48 door Anoniem
Echt enorm stom. Goedbedoelend, vast wel, maar dat maakt een stom idee niet minder stom. Inderdaad, gevoelige gegevens moet je niet onbeschermd versturen, maar niet alles wat je met een browser doet valt daaronder, en erger, door PKI tot harde vereiste te verheffen creeer je weer andere, ergere, problemen. Dit is gewoon gepruts zoals zo veel van het 'web van gepruts aanelkaar hangt. Maargoed, je bent mozilla of je bent het niet.
18-12-2017, 20:51 door Anoniem
laat Ze gelijk ook eens bij de nieuwste quantum versie de mogelijkheid inbouwen om je zoom instellingen te behouden .
want elke keer moet ik de zoom hoger zetten . Hoe is zoiets simpels vergeten in te bouwen in deze browser ?
verders loopt die wel aardig FF, ik had last van trage Chrome laden pagina,s dus die heb ik gewieberd .
18-12-2017, 22:01 door Anoniem
Doorgaan met het veilig = groen slotje gevoel, https zegt alleen iets over een veilige connectie (verbinding) niet veel over de veiligheidstoestand van de website in kwestie of het privacy gehalte.

Maar ja firefox nu als de bijwagen van Google chrome. Snel vanwege gebrek aan toegang tot lagere lagen van de browser.
Meer security through obscurity. Als je er maar een lekker gevoel bij krijgt, terwijl al je privé data het browserraam uitvliegen en je getrackt en geprofileerd wordt tot je een ons weegt.
19-12-2017, 08:36 door Anoniem
Vreemde actie.

Ik heb een aantal websites waar alleen maar wat info staat ... je hoeft niets achter te laten, niet in te loggen, geen linkjes met phishie stuff en zo. Gewoon old school html.

en dat willen ze dan standaard onveilig bestempelen? Ik ben benieuwd met wat voor reden dan. Paranoia?

Tssss vreemde actie hoor.
19-12-2017, 09:23 door Anoniem
Door Anoniem: Vreemde actie.

Ik heb een aantal websites waar alleen maar wat info staat ... je hoeft niets achter te laten, niet in te loggen, geen linkjes met phishie stuff en zo. Gewoon old school html.

en dat willen ze dan standaard onveilig bestempelen? Ik ben benieuwd met wat voor reden dan. Paranoia?
Denk aan mensen die via een onbeveiligd wifi access point het web opgaan. Een man-in-the-middle-aanval is dan relatief eenvoudig uit te voeren, en die kan in elke willekeurige HTTP-website een drive-by-download injecteren.
19-12-2017, 10:01 door Anoniem
@ anoniem van 9:23

Leuk dat in slaap sussen met een https-only campagne. Neemt niet weg dat 'big guv & associates' je ook wel weten te surveilleren op https only hoor. Er is inmiddels een hele levendige surveillance industrie ontstaan, die zich toespitst op de zorgen en noden van een heleboel naties in de wereld, ook die in minder of meerdere mate mensenrechten zeggen te respecteren.

Onbezorgd Internetten is voorgoed voorbij als het ooit heeft bestaan. Je moet altijd in je achterhoofd hebben, dat je het hele etmaal door uit je sokken kan worden getrackt en geprofileerd. Dat je nooit of te nimmer met het Internet moet delen wat je niet met anderen in het openbaar wenst te delen, want het kan je later misschien nog wel eens aardig opbreken, ook al denk je nu van niet.

Dat besef schijnt nog niet bij ieder te zijn doorgedrongen.
19-12-2017, 10:56 door Anoniem
Door Anoniem: Denk aan mensen die via een onbeveiligd wifi access point het web opgaan. Een man-in-the-middle-aanval is dan relatief eenvoudig uit te voeren, en die kan in elke willekeurige HTTP-website een drive-by-download injecteren.
Natuurlijk, en je provider kan dat ook, wat sommige providers ook doen. Nuja, wellicht vooral andermans advertenties door de hunne vervangen, maar toch.

Maar daar is dit geen oplossing voor. Kun je wel zeggen "ja maar we kunnen eigenlijk niets anders", en dan weet je waar het probleem echt zit: Je mist de infrastructuur om het goed te doen. Dus geef je maar controle en vrijheid weg, en dat blijf je doen tot je echt niets meer over blijkt te hebben. Slim!
19-12-2017, 12:08 door Anoniem
Noem het maar slim, Internet puristen waarschuwden hier lang geleden al voor.

Nu draaien ze zich waarchijnlijk om in hun graf, zoals F.R.A.V.I.A., altijd voorop in de strijd tegen advertenties en smut.

Alleen al ten behoeve van het wereld-mileu ga je bitcoin mining reeds blokkeren.

Maar als iedereen min of meer vrijwillig meedoet, behalve de enkele security bewuste dan nog. Wat dan?

Als je te direct te veel en intens je privacy bewaakt, komen ze nog thuis kijken bij je ook.
Want je zal dan wel iets te verbergen hebben of zoekt eigen richting misschien.

Leuke dystopische wereld wordt het steeds meer en mogen we nog meedoen na ons vijfenzevenstigste?

Jodocus Oyevaer
19-12-2017, 16:34 door Anoniem
Eerst is de hele wereld getraind om een veilige website te herkennen aan het slotje, en nu gaan ze afdwingen
dat alle websites een slotje hebben. M.a.w. de gewone man denkt dan "dit is een veilige website".

Dat de veiligheid van websites niks te maken heeft met de verbinding erheen dat leg je echt niet zomaar uit...
20-12-2017, 07:53 door Anoniem
Door Anoniem: Eerst is de hele wereld getraind om een veilige website te herkennen aan het slotje, en nu gaan ze afdwingen
dat alle websites een slotje hebben. M.a.w. de gewone man denkt dan "dit is een veilige website".
Zoals ik het begrijp is het idee dat de gewone man juist niet meer denkt "dit is een veilige website" bij HTTPS (non-EV), maar dat hij denkt "dit is een onveilige website" bij HTTP. Als ze het goed doen is het resultaat dat dit niet meer hoeft:
Dat de veiligheid van websites niks te maken heeft met de verbinding erheen dat leg je echt niet zomaar uit...
Waarom? De boodschap dat een slotje veilig zou zijn is onzin, de ketting is niet sterker dan de zwakste schakel en de versleuteling van de verbinding is niet meer dan een schakel in de ketting. De boodschap dat onversleuteld HTTP niet veilig is is wel correct, want dat is een zwakke schakel die de hele ketting zwak maakt. Het wordt dus eenvoudiger om een correcte boodschap simpel genoeg te maken voor digibeten. Als het zo uitpakt vind ik dit een verbetering.

En maak je niet zo druk om het dwingende karakter van deze ontwikkeling. Dit is onschuldig in vergelijking met het dwingende, want verslavende, karakter van Facebook, Twitter, Whatsapp en dergelijke. Het is onschuldig in vergelijking met elke marketingcampagne die je het gevoel geeft ergens niet bij te horen als je merk X of produkt Y niet koopt. Dat ik het relatief onschuldig vind is omdat SSL-certificaten tegenwoordig makkelijk en gratis te verkrijgen zijn. Er gebruik van maken voor je website is een kleinigheid vergeleken bij het achter de zoveelste must-have webtechnologie of vormgevingshype aanrennen.
20-12-2017, 08:19 door Anoniem
Door Anoniem: Leuk dat in slaap sussen met een https-only campagne. Neemt niet weg dat 'big guv & associates' je ook wel weten te surveilleren op https only hoor. Er is inmiddels een hele levendige surveillance industrie ontstaan, die zich toespitst op de zorgen en noden van een heleboel naties in de wereld, ook die in minder of meerdere mate mensenrechten zeggen te respecteren.
Heb je door dat de pogingen om al het internet verkeer te versleutelen (waaronder ook versleutelde chat-apps en dergelijke) serieus losbarstten na de onthullingen van Edward Snowden? Dat met het versleutelen van verbindingen echt niet alles is geregeld wil niet zeggen dat het niet nodig is om het te doen.

Als je zo cynisch bent dat je een stap in de goede richting als "in slaap sussen" afwijst dan ben je deel van het probleem en draag je niet bij aan de oplossing.

Onbezorgd Internetten is voorgoed voorbij als het ooit heeft bestaan. Je moet altijd in je achterhoofd hebben, dat je het hele etmaal door uit je sokken kan worden getrackt en geprofileerd. Dat je nooit of te nimmer met het Internet moet delen wat je niet met anderen in het openbaar wenst te delen, want het kan je later misschien nog wel eens aardig opbreken, ook al denk je nu van niet.

Dat besef schijnt nog niet bij ieder te zijn doorgedrongen.
Ik ben me er zeer van bewust. Ik ben alleen niet zo fatalistisch dat ik in termen van "voorgoed voorbij" denk, al was het maar omdat ik besef dat ik in een wereld die lang niet ideaal is voorlopig nog een leuk leven kan leiden. Het probleem met jouw soort fatalisme is dat als iedereen aanneemt dat er toch niets aan te doen is niemand gemotiveerd zal zijn om er wat aan te doen. Dan wordt het een self-fulfilling prophecy. Er is daarom een volkomen rationele en praktische reden om je optimisme niet helemaal te laten varen: als je dat doet weet je zeker dat er niets meer zal verbeteren omdat er geen motivatie voor verbetering overblijft. Ik ben nog lang niet aan zelfmoord plegen toe, dus blijf ik een beetje optimistisch. Dat kan onterecht blijken te zijn, maar intussen is mijn leven wel leuker dan wanneer ik alleen maar in cynisch zelfmedelijden zwelg.
20-12-2017, 09:39 door Anoniem
Heeft niemand in de gaten, dat de uitgevers van browsers uiteindelijk kunnen bepalen in plaats van de gebruikers zelf of iemand een bepaalde website mag bezoeken. De uitgever van de browser hoeft maar een certificaat van een website aan te merken als vals, en de bezoeker krijgt geen toegang tot die website.
20-12-2017, 23:15 door Anoniem
@ anoniem van 8:19

Maar als je regelmatig doorsnee websites tegen het licht houdt via third party cold reconnaissance scans (helaas heb je schriftelijke toestemming nodig om sites direct te benaderen of bepaalde info wil verspreiden, info van een dazzlepod ip scannetje bij voorbeeld mag niet tegen de gescande zelf worden gebruikt).

Dus als je dit regelmatig onder ogen krijgt, rijzen je al vaak de haren ten berge en ga je naar het handhaven van veiligheid op de infrastructuur een beetje cynisch en meesmuilend kijken.

Net nog aanwezig bij een TIN 2e jaars toets met de opmerking van de docent: "Als u nog veiligheidsadviezen hebt,, hoor ik het graag van u". Ik mag me er inhoudelijk niet in mengen, dus hij maakt weinig kans.

Kom ik weer met een riedeltje van wat ik te veel en te vaak aantref. Allerlei versies jQuery bibliotheken door elkaar, met nogal eens bibliotheken, die af te voeren zijn. Code vol sources en sinks op 3rd party link websites, die niet volgens de "same origin" regel zijn beveiligd. Sites die niet automatisch van http naar https gaan. Server info proliferatie, name mismatch op certificaten, die als root op de server staan, naamserver versies uit te lezen (hopelijk niet de echte versie, maar geen enkele proliferatie van info is "best policy'!). CMS narigheid - user enumeration aan laten staan en directory listing op een bekend CMS als Word Press, af te voeren code omdat ie niet meer bijgehouden wordt (ergo verlaten code).
Javascript unpack scans en gevonden errors napluizen zoals gemeld bij StackOverflow, veel geleerd van die luitjes en vaak ook info credits gegeven. Er zijn genoeg goede security mensen, alleen wordt er zo weinig naar hen geluisterd of van hen geleerd. Waarom toch?

Handrolled-coded code gebruiken, waar een kant en klare oplossing door een team specialisten er beter voor zorgt dat men het wiel niet opnieuw gaat uitvinden. IT die geen verstand heeft van encryptie of van security maar mondjesmaat. Geen security headers of niet voldoende geimplementeerd. Dit is maar een topje van de ijsberg, er zijn nog verdachte ga domeinen bijvoorbeeld, er zijn http cookie zwakheden, er is zo veel dat je je moet gaan specialiseren en website security en error-hunting is al zo'n breed terrein.

Er wordt volop gerotzooid op geparkeerde domeinen, die eigenlijk niet meer hoeven te verdienen, maar beter gesinkholed zouden kunnen worden. Nu geautomatiseerd door de opvolger van het bedrijf van de Wener Peter Kleissner. Hij heeft mij nog onderwezen.

Moet ik nu gaan zingen van hoi, de opleidingen van degenen die ons veilig moeten houden zijn zo adequaat. Ik zie als proctor met relevante kennis dagelijks iets anders. Verder als het riedeltje black hat, grey hat, white hat komt men meestal in een studiejaar niet. Technische IT weet meer, maar dat zijn meestal niet de Apple-mannetjes met een staartje, met of zonder das.

Over de invloed van dozenschuivers en onwetend management met een sterk geloof in one click oplossingen heb ik het dan nog niet gehad. Ik wil het ook wel anders, doe vrijwillig aan voorlichting, maar voel me vaak een roepende in de woestijn. Is er dan niemand met gelijkaardige ervaringen?

Ik ben een f.r.a.v.i.a - adept (R.I.P. en veel te vroeg de Internet community ontvallen), vergeleek weak cgi woordenboeken voor gebruik in http-server scanners e.d.. Gaan we nog echt verbeteringen zien qua veiligheid op de infrastructuur of hoe zit dat?

Mag ik dit a.u.b. aangeven als ik dagelijks zie dat het een gatenkaas is online, met gaten soms, zo groot als van een flinke kaasboor!
22-12-2017, 16:24 door Anoniem
@ Anoniem 20-12-2017, 23:15

Je hebt het over andere aspecten van het geheel dan waar dit over gaat. Dat er nog een heleboel meer te verbetern valt wil nog niet zeggen dat voor deze stap niets te zeggen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.