image

EFF lanceert nieuwe versie browserplug-in HTTPS Everywhere

woensdag 4 april 2018, 12:16 door Redactie, 5 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft een nieuwe versie van HTTPS Everywhere gelanceerd, de browserplug-in die ervoor zorgt dat gebruikers bij het bezoeken van een website meteen verbinding met de https-versie maken als die beschikbaar is.

De nieuwste versie zorgt ervoor dat de lijst met websites die https ondersteunen vaker wordt bijgewerkt. HTTPS Everywhere werkt met een lijst van https-sites, zodat de plug-in weet welke websites het via https kan opvragen. De lijst werd voorheen alleen via versie-updates bijgewerkt. Het was echter een omslachtig proces om alleen voor een lijst-update een nieuwe versie uit te brengen, zo laat de EFF weten.

Daarom zal de nieuwste versie nu periodiek controleren of er een nieuwe lijst beschikbaar is en die automatisch downloaden. De lijst-updates zijn digitaal ondertekend. Daarnaast heeft de EFF het eenvoudiger voor andere ontwikkelaars en derde partijen gemaakt om hun eigen lijsten te publiceren en die binnen een "custom-made" versie van HTTPS Everywhere te verwerken. De browserplug-in is beschikbaar voor Google Chrome, Mozilla Firefox en Opera.

Reacties (5)
04-04-2018, 18:46 door Anoniem
Goed bezig, mooi programmaatje.
05-04-2018, 07:44 door Anoniem
Gave plugin, en mooie update.
Wat ik wel mis is welke gegevens er naar de server worden verstuurd t.b.v. het controleren op updates, en hoe deze verwerkt worden. Ik kan daar in de blogpost van het EFF niets over vinden.
05-04-2018, 09:24 door Anoniem
Als je zoekt bij EFF krijg je ruleset info.
Anders naar HTTPS everywhere Atlas voor voorbeelden.
Jodocus Oyevaer
05-04-2018, 10:12 door gemini-alpha
Ik gebruik smart https. 0.2.2.2 Niet meer goed genoeg?
05-04-2018, 13:04 door Anoniem
Dit iser nog mis met de security dot nl website (in verband met mogelijke MiM aanvallen:

HSTS header does not contain includeSubDomains
The HTTP Strict Transport Security (HSTS) header does not contain the includeSubDomains directive.
This directive instructs the browser to also enforce the HSTS policy over subdomains of this domain.
EXPECTED:
max-age=[anything]; includeSubDomains; ...
FOUND:
max-age=31536000
HSTS header not prepared for preload list inclusion

quote info afkomstig van een publiek toegankelijke UpGuard CloudScan.
Aanbeveling installeer de nodige security header instellingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.