image

Google wil kortere levensduur voor cookies via http

vrijdag 13 april 2018, 14:14 door Redactie, 3 reacties

Om de privacy en veiligheid van internetgebruikers te verbeteren moeten cookies die via het onbeveiligde http worden verstuurd een kortere levensduur krijgen. Daarvoor heeft Chrome-engineer Mike West een voorstel op GitHub en Google Groups gedaan.

"Cookies die via het onversleutelde http worden gestuurd zijn zichtbaar voor iedereen op het netwerk. Deze zichtbaarheid stelt behoorlijke hoeveelheden data bloot aan aanvallers op het netwerk", aldus West, die op Twitter meldt dat via onversleutelde kanalen verstuurde cookies voor "echte risico's" voor de privacy van gebruikers zorgen. West ziet dan ook liever dat cookies alleen nog via https worden uitgewisseld.

Om het risico van onveilig verstuurde cookies te verkleinen wil West de levensduur beperken. "In plaats van voldoende oude cookies via onbeveiligde verbindingen te versturen zouden we ze moeten verwijderen uit de cookie-jar van de gebruiker", stelt de engineert. Zodra een gebruiker met http://example.com verbinding maakt, wordt er een "Cookie" header gemaakt. Als cookies die in deze header worden geplaatst voldoende oud zijn, worden ze van de header uitgezonderd en verwijderd. Het plan is om als levensduur te beginnen met bijvoorbeeld een jaar en dat dan verder af te bouwen om zo het risico te mitigeren dat cookies via onbeveiligde verbindingen vormen.

Volgens West kunnen cookies "fragiel" zijn, maar zullen gebruikers van een kortere cookie-levensduur waarschijnlijk weinig merken. "Aan de andere kant zullen diensten die van langlevende onveilige cookies gebruikmaken waarschijnlijk niet blij zijn, wat goed is. Er zijn duidelijke risico's bij het versturen van cookies via onbeveiligde kanalen, met name als het op grote schaal wordt gedaan als onderdeel van een advertentienetwerk." West heeft nu om feedback op zijn voorstel gevraagd. In het verleden heeft Mozilla al een keer naar een soortgelijke oplossing gekeken.

Reacties (3)
13-04-2018, 21:53 door Anoniem
Ik heb een nog beter idee:

http voor informatieve en puur statische html websites zonder cookies, cgi, php, asp, javascript, flash, trackers of andere crap. Supersnel, Superstabiel, Superveilig, Supercompatibel.

https voor portals waar gebruikers gegevens in kunnen verwerken.

En een waakhond die boetes oplegt als de websites niet in een van de 2 vakjes past. Eventueel bij de http variant geen BTW heffen op de domeinnaam om zo veilige, snelle websites te promoten en http only verplicht stellen voor websites die een publieke taak hebben betreft informatievoorziening (b.v. crisis.nl etc)

Verder hoeven niet-commerciële Nederlandse websites ook niet vanuit het buitenland te benaderen zijn.
14-04-2018, 00:19 door Anoniem
@Anoniem om 21:53
Jij spoort niet of begrijpt het verschil tussen HTTP en HTTPS niet.
Informatieve pagina’s kunnen zeer privacy gevoelig zijn. Gewoon als voorbeeld: informatieve pagina’s over verschillende geslachtsziektes of sexuele voorkeuren.
Daarbij geeft HTTP geen beveiliging tegen het aanpassen van een site via een MiTM aanval (denk aan al die handige onbeveiligde hotspots) om reclame/virussen of erger gewoon te rmbedden in de opgevraagde pagina.
HTTPS is eigenlijk gewoon een must voor elke pagina en met de gratis certificaten die tegenwoordig te krijgen zijn is er als webmaster eigenlijk geen excuus meer om de site niet op HTTPS te zetten.
14-04-2018, 18:11 door Anoniem
Door Anoniem: @Anoniem om 21:53
Jij spoort niet of begrijpt het verschil tussen HTTP en HTTPS niet.
Informatieve pagina’s kunnen zeer privacy gevoelig zijn. Gewoon als voorbeeld: informatieve pagina’s over verschillende geslachtsziektes of sexuele voorkeuren.
Daarbij geeft HTTP geen beveiliging tegen het aanpassen van een site via een MiTM aanval (denk aan al die handige onbeveiligde hotspots) om reclame/virussen of erger gewoon te rmbedden in de opgevraagde pagina.
HTTPS is eigenlijk gewoon een must voor elke pagina en met de gratis certificaten die tegenwoordig te krijgen zijn is er als webmaster eigenlijk geen excuus meer om de site niet op HTTPS te zetten.
Ja inderdaad, hoe hij het uitlegt lijkt het alsof dat hij denkt dat https sites 'clean' zijn van malware etc..

@Anoniem om 21:53
HTTPS heeft niets met malware te maken!!! Het heeft meer te maken met privacy. Jezelf verborgen houden op welke 'pagina' je naartoe surft (niet welk domein), maar vooral ook om je login gegevens niet te leaken. (dit in 1 zin uitgelegd)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.