image

Chrome beschouwt alle http-sites vanaf vandaag als 'niet beveiligd'

dinsdag 24 juli 2018, 09:12 door Redactie, 26 reacties
Laatst bijgewerkt: 26-07-2018, 09:47

Google Chrome zal vanaf vandaag alle http-sites als 'niet beveiligd' beschouwen, wat gevolgen zal hebben voor een meerderheid van de 1 miljoen populairste websites op internet. Dat laat internetbedrijf Cloudflare weten. Volgens onderzoek zouden ruim 542.000 van deze 1 miljoen websites niet naar https doorverwijzen, waardoor Chrome-gebruikers in de adresbalk de melding "niet beveiligd" te zien krijgen.

Van de Top 100 websites zijn er nog 12 die standaard geen https-versie aanbieden. In acht gevallen gaat het om Chinese websites, waaronder Baidu.com en qq.com, die in de Top 10 van populairste websites staan, zo meldt beveiligingsonderzoeker Troy Hunt. In Nederland gaat het volgens whynohttps.com om deze 50 websites.

Door bij http-sites de melding 'niet beveiligd' weer te geven wil Google het gebruik van het onversleutelde http ontmoedigen. Het verkeer tussen http-sites en hun bezoekers is niet beveiligd en kan zo worden onderschept en aangepast. Https zorgt voor een versleutelde verbinding tussen de website en bezoekers en helpt bij het identificeren van de website. Het zegt echter niets over de veiligheid van de website.

Google is al geruime tijd bezig met het plan om gebruikers voor http-sites te waarschuwen. In 2014 kondigde de internetgigant het plan al aan. Eerder kregen Chrome-gebruikers al waarschuwingen op http-sites waar creditcardgegevens, wachtwoorden en andere data kan worden ingevoerd, alsmede bij alle http-sites in de Incognito-mode.

Mede door de lancering van de certificaatautoriteit Let's Encrypt, dat gratis tls-certificaten uitgeeft en een eenvoudige installatieprocedure aanbiedt, is het aantal https-sites sterk gestegen. Volgens Google gaat het meeste Chrome-verkeer via https. Daarom zal vandaag met de lancering van Chrome 68 de onderstaande waarschuwing bij http-sites verschijnen.

Image

Reacties (26)
24-07-2018, 09:21 door Anoniem
Leuk dat er aandacht besteed wordt aan de beveiliging van de verbinding, maar ik denk dat dat wel het minst spannende is aan websitebeveiliging. Ik heb liever een website die alleen via HTTP benaderbaar is, maar bestand tegen SQL injection, dan een HTTPS website die kwetsbaar is voor SQL injection.
24-07-2018, 09:35 door Anoniem
Security by cargo cult.

Het programma is dan ook een vehikel van een advertentiebedrijf.
24-07-2018, 10:21 door [Account Verwijderd]
Ik zat op het internet in de tijd dat de enige mogelijkheid tot inloggen in Amsterdam zat.

De tijd mee gemaakt dat het IRC nog leuk was.

Het allereerste begin van computers gezien toen ik werkte aan de DERDE computer in HEEL Delft.
Voornamelijk kabeltrekken en gaatjes boren, ;-)

Colossal Cave Adventure gespeeld samen met 5 andere mensen met de output op een PRINTER.
Nog geen beeldschermen in die tijd. ;-)

In het artikel staat letterlijk:
Https zorgt voor een versleutelde verbinding tussen de website en bezoekers en helpt bij het identificeren van de website. Het zegt echter niets over de veiligheid van de website.

Die ziekelijke wens tot het volgen van gebruikers, daar word IK ziek van.

Ik heb 20 jaar hobbymatig gewerkt aan een website die amfibie voertuigen in encyclopedische vorm weergaf.
Met de laatste nieuwe privacy wetten in de wereld is de lol daar ook wel af. (kentekens en gezichten.) Hoe zou ik al die mensen ooit nog terug kunnen vinden. Ik zou 2 Gb aan foto's moeten aanpassen. Dan gaan we maar op zwart.

Ik gebruik het internet nog voor kranten, deze website en 9gag
En ik moet toegeven ook nog voor het vinden van Camperplaatsen, wat een ramp van een website is campercontact.

Ik vind het internet NIET MEER LEUK.
24-07-2018, 10:24 door Anoniem
Door Anoniem: Leuk dat er aandacht besteed wordt aan de beveiliging van de verbinding, maar ik denk dat dat wel het minst spannende is aan websitebeveiliging. Ik heb liever een website die alleen via HTTP benaderbaar is, maar bestand tegen SQL injection, dan een HTTPS website die kwetsbaar is voor SQL injection.
Het zijn twee verschillende zaken. HTTPS is ook erg belangrijk voor privacy, alleen het host gedeelte is zichtbaar, de rest van de URL zit in de encryptie. Voor sommige landen kan dit van levensbelang zijn.
24-07-2018, 10:48 door Anoniem
Dit is nogal doorgedraaid. Er zijn vele, heel vele sites waar het helemaal niet belangrijk is of er https gebruikt wordt of niet.
Zelf maak ik nogal eens gebruik van informatieve sites, zoals die van (particuliere) vakantiewoningen, waar je helemaal niet in hoeft te loggen. Daar loop je geen enkel gevaar als het geen https is. Meestal heeft zo'n site een formuliertje of ze vermelden een emailadres. Wil je nadere informatie of je aanmelden voor een bepaalde periode, dan stuur je ze gewoon een berichtje (of je belt ze, wel zo prettig voor persoonlijk contact).

Waarom zouden eigenaren van dergelijke sites een hoop geld moeten uitgeven voor https, terwijl het helemaal niet nodig is?

Is natuurlijk wat anders dan een grote vakantiesite waar je ingelogd bent en direkt via de site reserveert (en er dan aan vast zit). En datzelfde geldt vanzelfsprekend voor (alle) webshops.

Er zullen vele andere kleine sites zijn die alleen maar informatief bedoeld zijn en waar je met http geen enkel gevaar loopt. Moeten die nu ineens allemaal naar https overgaan alleen omdat er een bericht verschijnt: deze site is niet veilig?

En hoe zit het dan met die https sites die inmiddels bestaan met bijv. fake webshops? Zijn die wél veilg? mooi niet dus. Deze methode veroorzaakt een schijnveiligheidsgevoel.
24-07-2018, 11:03 door Anoniem
Door amphihans:
Ik heb 20 jaar hobbymatig gewerkt aan een website die amfibie voertuigen in encyclopedische vorm weergaf.
Met de laatste nieuwe privacy wetten in de wereld is de lol daar ook wel af. (kentekens en gezichten.).
Als je site gaat over amfibie VOERTUIGEN: wat heeft dat met gezichten te maken?
In Nederland is een kenteken gebonden aan het voertuig. Bij verkoop blijft het kenteken bij het voertuig.
Een kenteken valt dus niet onder de AVG.
Ik begrijp je frustratie daarom niet zo goed... misschien de warmte.
24-07-2018, 11:19 door Anoniem
Door amphihans: Ik zat op het internet in de tijd dat de enige mogelijkheid tot inloggen in Amsterdam zat.

Ja, dat is lang geleden. Al kan ik me herinneren dat de eerste mogelijkheid in Groningen zat. In 1992.

De tijd mee gemaakt dat het IRC nog leuk was.

De juiste kanalen zijn ook nu nog leuk.

Ik heb 20 jaar hobbymatig gewerkt aan een website die amfibie voertuigen in encyclopedische vorm weergaf.
Met de laatste nieuwe privacy wetten in de wereld is de lol daar ook wel af. (kentekens en gezichten.) Hoe zou ik al die mensen ooit nog terug kunnen vinden. Ik zou 2 Gb aan foto's moeten aanpassen. Dan gaan we maar op zwart.

Hobbymatig is veel meer mogelijk. Dit zou waarschijnlijk niet nodig zijn geweest.

Peter
24-07-2018, 11:30 door Anoniem
Door amphihans:
Die ziekelijke wens tot het volgen van gebruikers, daar word IK ziek van. [...] Ik vind het internet NIET MEER LEUK.

Misschien dat u met uw vele ICT ervaring ouderen in een plaatselijk Repair Café, of kinderen op school, wegwijs kunt maken met Tor Browser en het bouwen van maatschappelijk nuttige onion sites? Onion sites met de recepten en keukengeheimen van oma of met de uittreksels van de verplichte saaie boekenlijst van de middelbare school, om te beginnen.

Wat meer serieus zou bijvoorbeeld een opzet voor een onion site voor Artsen Zonder Grenzen zijn, met gedegen informatie over aids en andere infectieziekten. Uw groep ouderen van het Repair Café kunnen die onion site dan officieel gaan overdragen aan die artsen organisatie, wat voor de nodige goede publiciteit kan zorgen.

Of een dropbox voor vervolgde Russische dissidenten, te maken met een groepje vervelende VWO scholieren voorafgaand aan een open dag bezoek aan een studie Russische letteren en cultuur? Misschien zit er voor uw schoolklasje ook wel een bezoekje aan de AIVD in, om te zien hoe de echte spionnen het in Nederland doen. Gebruik uw fantasie.

Onderwijs in Tor Browsing en GnuPG geven is heel nuttig voor onderzoeksjournalisten in spe en de bescherming van de mensenrechten in enge landen. Misschien dat het internet dan niet leuker wordt, het wordt in ieder geval wel een stuk spannender. En u draagt uw steentje bij aan het overdragen van uw kennis aan de jongere generaties. Dat is leuk.
24-07-2018, 12:19 door Anoniem
Google wil iedereen forceren naar hun dochter Letsencrypt
24-07-2018, 12:21 door Anoniem

Mede door de lancering van de certificaatautoriteit Let's Encrypt, dat gratis tls-certificaten uitgeeft en een eenvoudige installatieprocedure aanbiedt, is het aantal https-sites sterk gestegen. Volgens Google gaat het meeste Chrome-verkeer via https. Daarom zal vandaag met de lancering van Chrome 68 de onderstaande waarschuwing bij http-sites verschijnen.

Het is helemaal niet eenvoudig. Ga maar eens een certificate aanvragen voor een host waarop de software niet draait? Ga maar eens een certificate aanvragen als je de amazon cloud blokkeerd op je dns servers. Ga maar eens een jaar certificate aanvragen.
24-07-2018, 12:22 door Anoniem
Chrome 68 is nog niet uit in het stable channel https://chromereleases.googleblog.com/
24-07-2018, 12:44 door Anoniem
Ik denk dat google ooit nog eens komt met gratis HTTPS voor elke site. Dat zou extra tracking laag zijn die je niet kan blokkeren of je moet de hele website blokkeren.
24-07-2018, 13:08 door Bitwiper - Bijgewerkt: 24-07-2018, 13:29
Door Anoniem: HTTPS is ook erg belangrijk voor privacy, alleen het host gedeelte is zichtbaar, de rest van de URL zit in de encryptie.
Het gaat niet alleen om privacy, wellicht belangrijker is dat je exact de bedoelde informatie krijgt (niet meer, niet minder, en natuurlijk ongewijzigd).

1) Google heeft er een zakelijk belang bij om https te promoten, omdat er ISP's zijn die (op http links) Google advertenties vervangen door andere;

2) Er zijn landen waarbij men je iets anders zou kunnen laten lezen op bijv. een wikipedia pagina indien deze over http wordt aangeboden;

3) Als je via een netwerk, waar een kwaadwillende toegang tot heeft (bijv. als jouw computer nog een of meer public WiFi netwerken kent of je sowieso via zo'n netwerk surft, op vakantie bijvoorbeeld) en je een http site zoals van amphihans opent, kan de kwaadwillende bijv. een popup injecteren waarin staat dat je een Flashplayer of andere plugin/update moet installeren. Of een melding tonen dat jouw computer besmet is (lijkend op een legitieme melding van een virusscanner). Overigens zien amphihans en andere http site-beheerders hier niets van in hun webserverlogs. Jij (lezers van security.nl) zijn vast wel zo slim om daar niet op in te gaan. Maar geldt dat ook voor tante Truus of jouw moeder?

Ook kan de aanvaller meteen proberen om de browser-exploit du-jour te injecteren; als jouw browser niet up-to-date is (en je geen andere beschermende maatregelen gebruikt zoals NoScript) ben je meteen de Sjaak. Of content van een http pagina van bijv. een overheidssite, maar ook bijv. een garagebedrijf aanpassen ("Klik hier om op DigiD in te loggen" - met een link naar een fake pagina, of "Let op: ons bankrekeningnummer is gewijzigd in ...") en jou zo op het verkeerde been zetten.

https heeft alles met authenticiteit te maken: is de informatie zoals jij die ziet exact afkomstig van de kennelijke auteur of publicist?

Authenticiteit is echter nooit 100% gegarandeerd (authenticiteit is ook afhankelijk van de betrouwbaarheid van jouw browser, device en andere software daarop - maar daar kan de serverzijde niets aan doen). Het trieste feit is dat https gebruikers geen indicatie hebben van hoe zeker het is dat de informatie afkomstig is van de aangegeven bron (hooguit zien zij een verschil tussen sites met een EV certificaat en met andere certificaten).

Ook zegt authenticiteit niets over de betrouwbaarheid van informatie. Het enige dat je er aan hebt is dat, als je weet dat je een publicist redelijkerwijs kunt vertrouwen (en dat is meestal iets dat moet worden opgebouwd), authenticiteit jou (in meer of mindere mate) helpt met het vaststellen dat informatie daadwerkelijk door de gegeven publicist wordt aangeboden. Door https te gebruiken bescherm je jouw bezoekers en de reputatie van jouw site - want als devices van gebruikers malware oplopen of anders geschaad worden tijdens het bezoeken van jouw site, ook al is er niks mis mee, krijg jij daar toch de schuld van. En dat vind ik meer en meer terecht.

Zo vertrouw ik erop dat de redactie van security.nl en bijv. Spiff geen links naar kwaadaardige sites posten (althans niet opzettelijk). Doordat mijn browser een https verbinding heeft met security.nl, weet ik behoorlijk zeker dat pagina's niet on-the-fly gewijzigd kunnen zijn, zelfs als ik brakke hotel-WiFi in Frankrijk gebruik.

Overigens had ik liever gezien dat Chrome en andere browsers default "https://" als protocol zouden kiezen indien iemand dat niet aangeeft (en "http://" dus een bewuste keuzen moet zijn). Daar zou het web pas echt een stuk veiliger van worden...
24-07-2018, 13:39 door Anoniem
Door Bitwiper:Overigens had ik liever gezien dat Chrome en andere browsers default "https://" als protocol zouden kiezen indien iemand dat niet aangeeft (en "http://" dus een bewuste keuzen moet zijn). Daar zou het web pas echt een stuk veiliger van worden...

Daar zou het web inderdaad wel veel veiliger van worden, maar ook zouden heel, echt heel veel sites stuk aan gaan.
Denk bv aan "website.domain.nl" (met een certificate) waar plaatjes van "img.domain.nl" komt (zonder certificate), en dan hebben we het nog niet over embedded content van andere sites of CDNs.
24-07-2018, 14:16 door Anoniem
Door Anoniem: Dit is nogal doorgedraaid. Er zijn vele, heel vele sites waar het helemaal niet belangrijk is of er https gebruikt wordt of niet.
Zelf maak ik nogal eens gebruik van informatieve sites, zoals die van (particuliere) vakantiewoningen, waar je helemaal niet in hoeft te loggen. Daar loop je geen enkel gevaar als het geen https is.
Ik vind het op afstand injecteren van extra javascript door een (besmette) router / hub toch echt niet "geen enkel gevaar", vooral niet omdat een leek geen idee heeft of dit gebeurt of niet.
Meestal heeft zo'n site een formuliertje of ze vermelden een emailadres. Wil je nadere informatie of je aanmelden voor een bepaalde periode, dan stuur je ze gewoon een berichtje (of je belt ze, wel zo prettig voor persoonlijk contact).
En hier ga je dus gelijk al mis, hoe kun je voorkomen dat de data die jij opstuurt met zo een formulier niet onderschept kan worden (https op het aflever punt alleen helpt niet, want de browser heeft geen validatie kan het HTML document om te valideren dat die ook met https verstuurd moet worden dus een mitm kan gewoon een strip ssl aanval gebruiken en het onderscheppen, geen haan die er naar kraait, en wel meteen een data lek.
Waarom zouden eigenaren van dergelijke sites een hoop geld moeten uitgeven voor https, terwijl het helemaal niet nodig is?
een hoop geld? in verhouding tot wat? de boete op het lekken van persoonsgegevens (op moedwillige manier war het niet draaien van https in dit geval op uitloopt) is toch echt (waarschijnlijk) wel meer dan 10k(het is aan de A.P.G. en rechter om te bepalen hoeveel). Het draaien van een veilige webserver is nu ook weer niet zo moeilijk, als je zelf niet in de weer wilt met let's encrypt optuigen gebruik je toch gewoon caddyserver. als je hoster nog steeds geen ssl ondersteund dan verhuis je beter gisteren dan vandaag. (zo een hoster heeft zijn zaakjes niet op orde namelijk). Ook als je wel voor een 'officiële' ssl certificaat gaat, die kost ook maar iets van 10 euro (met configuratie) / jaar. in het kort kosten kunnen tegenwoordig simpelweg niet meer de reden zijn om geen tls (hhtps) te gebruiken.

Is natuurlijk wat anders dan een grote vakantiesite waar je ingelogd bent en direct via de site reserveert (en er dan aan vast zit). En datzelfde geldt vanzelfsprekend voor (alle) webshops.

Er zullen vele andere kleine sites zijn die alleen maar informatief bedoeld zijn en waar je met http geen enkel gevaar loopt. Moeten die nu ineens allemaal naar https overgaan alleen omdat er een bericht verschijnt: deze site is niet veilig?
je hebt echt een niet realistisch beeld van computer veiligheid. je kan pas iets vertrouwen als je iets hebt dat je kunt valideren, een http site die via een onveilig netwerk komt (lees: internet) kan dus nooit te vertrouwen zijn, tenzij er validatie kan worden gedaan.
HTTPS maakt validatie mogelijk m.b.v. Certificaten uitgegeven door CA's. welke de browsermakers nauw contact mee houden om ze te controleren en in hun lijst te laten, als ze niet duigen worden ze er onherroepelijk uitgesmeten (zoals bij symantec, diginotar, etc.)

En hoe zit het dan met die https sites die inmiddels bestaan met bijv. fake webshops? Zijn die wél veilg? mooi niet dus. Deze methode veroorzaakt een schijnveiligheidsgevoel.
Hier heb je idd wel een punt, namelijk HTTPS betekend niet dat het echt is, het betekend alleen dat de pagina niet veranderd is sinds het de server heeft verlaten. (het zegt dus ook niet uit zichzelf of dat de juiste server was)
Het probleem van identificatie is met https niet opgelost, maar wel beter te managen. Immers als er nu een fake webshop (met let's encrypt) certificaat komt, hoeft enkel lets encrypt die webshop te revoken (en de IP op greylist te zetten) waardoor voordat de server aangepakt kan worden (i.v.m. juridisch geneuzel) de fake webshop wel gelijk uit de lucht kan worden gehaalt (tenminste de HTTPS variant), dit maakt de HTTP variant dus nog onveiliger
24-07-2018, 14:50 door Anoniem
Door Anoniem: Google wil iedereen forceren naar hun dochter Letsencrypt
Oke, tijd voor een nieuw aluhoedje.
Lets Encrypt is dus géén Google/Alphabet dochter. Chrome (wél een Alphabet onderdeel) is een van de 6 platinum sponsors (samen met Cisco, Akamai, Mozilla, de Electronic Frontier Foundation en OVH).
Daarnaast zijn er nog 48 silver sponsors en 3 gold sponsors.
[url=https://letsencrypt.org/sponsors/]bron[/url]

De dienst zelf is wordt effectief geleverd door de Internet Security Research Group. Van de Board Members is er ook niemand die bij Alphabet vandaan komt.
24-07-2018, 15:26 door Anoniem
" Chrome beschouwt alle http-sites vanaf vandaag als 'niet veilig' "

Sinds het uitkomen van Chrome beschouw ik deze al als niet veilig.
Firefox is helaas ook die kant op gegaan.
24-07-2018, 16:51 door Anoniem
Google met Chrome doet heel veel aan veiligheid met "https everywhere" (veilige(r) connectie naar de non-public cloud).
Google heeft Google Safebrowsing en VT en waarschuwt bij Cloaking, PHISHING, malcode, scam etc.

Maar is het zelf niet een vorm van PUP (Potentially unwanted program of wel een mogelijk ongewenst programma)?.

Google heeft 1 nadeel het is selectief naar veiligheid toe, waar het haar core-business betreft en het is waarschijnlijk de grootste monopolist ter wereld. Dus bij Google minder keus, meer eenvormigheid. We hebben dit gezien bij de smartfoon, we hebben het gezien op tablets en je kunt nu zelfs Windows 10 Timeline feature installeren op al je devices in de grotere browsers, die ook steeds meer Google Chrome trekjes gaan vertonen (engines, extensies, etc.).

Wat verdwijnt is de vrijheid voor de resource hacker, de "tinkerer", nog meer in de hoek drukken van bepaalde vormen van "open source" en andere ongewenste bijkomstigheden. Denk hierbij aan het verlies van heel veel privacy en onafhankelijkheid. En afhankelijkheid gaat door. Gaat het met Google Chrome fout, gaat het ook ineens gigantisch fout.

Een ander nadeel van Google Chrome met het verdrijven van http als protocol is juist de gigantische privacy bedreiging door Google. Google zit op een berg data waar niet overheen te springen valt en deelt die ook "under gag order" o.a. tevens met de Amerikaanse inlichtingendiensten. Google kan een bevrijder zijn met ruime pluriforme informatiestromen met voor elk wat wils, of bouwer aan een ondemocratisch soort van panopticum surveillance staat van de allereerste orde.

Welke kan het op zal gaan, hangt van ons allen af. Laten we de duistere krachten hun gang gaan, dan is veel al heel duidelijk, zeker met de realiteit van AI om de hoek. "Google don't be evil", ze hebben die slogan nu verlaten. Teken aan de wand wellicht?
25-07-2018, 02:53 door Anoniem
Door amphihans: Ik zat op het internet in de tijd dat de enige mogelijkheid tot inloggen in Amsterdam zat.

De tijd mee gemaakt dat het IRC nog leuk was.

Het allereerste begin van computers gezien toen ik werkte aan de DERDE computer in HEEL Delft.
Voornamelijk kabeltrekken en gaatjes boren, ;-)

Colossal Cave Adventure gespeeld samen met 5 andere mensen met de output op een PRINTER.
Nog geen beeldschermen in die tijd. ;-)

In het artikel staat letterlijk:
Https zorgt voor een versleutelde verbinding tussen de website en bezoekers en helpt bij het identificeren van de website. Het zegt echter niets over de veiligheid van de website.

Die ziekelijke wens tot het volgen van gebruikers, daar word IK ziek van.

Ik heb 20 jaar hobbymatig gewerkt aan een website die amfibie voertuigen in encyclopedische vorm weergaf.
Met de laatste nieuwe privacy wetten in de wereld is de lol daar ook wel af. (kentekens en gezichten.) Hoe zou ik al die mensen ooit nog terug kunnen vinden. Ik zou 2 Gb aan foto's moeten aanpassen. Dan gaan we maar op zwart.

Ik gebruik het internet nog voor kranten, deze website en 9gag
En ik moet toegeven ook nog voor het vinden van Camperplaatsen, wat een ramp van een website is campercontact.

Ik vind het internet NIET MEER LEUK.

Ahhhh! Delft! Het computerpracticum op de IBM mainframe. Met ponskaarten. En dan snel bij een studievriendje wat ponskaarten met een for-next loopje tussen zijn stapeltje schuiven, als hij even niet keek, en voor dat zijn job de kaartlezer in ging. En daarna die lineprinter maar hele rollen behang uitprinten.

Alle kinderen die daarna nog virussen hebben gemaakt zijn daar niks bij. Toen waren we nog creatief en origineel!
25-07-2018, 07:08 door Bitwiper - Bijgewerkt: 25-07-2018, 07:10
Door Anoniem:
Door Bitwiper:Overigens had ik liever gezien dat Chrome en andere browsers default "https://" als protocol zouden kiezen indien iemand dat niet aangeeft (en "http://" dus een bewuste keuzen moet zijn). Daar zou het web pas echt een stuk veiliger van worden...

Daar zou het web inderdaad wel veel veiliger van worden, maar ook zouden heel, echt heel veel sites stuk aan gaan.
Denk bv aan "website.domain.nl" (met een certificate) waar plaatjes van "img.domain.nl" komt (zonder certificate), en dan hebben we het nog niet over embedded content van andere sites of CDNs.
Ik zie het probleem niet.

Als een surfer een site, die geen https ondersteunt, opent door de domeinnaam zonder protocolaanduiding in de URL-balk van de browser in te voeren, bijv. proshots.nl (een site van een club fotografen), en de browser daar https://proshots.nl/ van maakt, dan zal de gebruiker zien dat zij een verkeerde URL heeft ingetikt (want er verschijnt een foutmelding, althans op dit moment bij mij).

Het volgende is dan denkbaar:
1) Er zullen surfers zijn die geen nieuws lezen en niet op sites als security.nl of libelle.nl vragen waarom proshots.nl invoeren in de URL balk ineens niet meer werkt - en denken "nou, dan ga ik maar naar een andere site". In mijn ervaring zijn dat vooral "tante Truus" types waarvan de meesten sowieso niet zelf domeinnamen in de URL balk invoeren, maar hooguit in het Google zoekveld. De overige gebruikers zullen, verwacht ik, snel leren dat ze (bij de incidentele gevallen dat ze zo'n foutmelding zien), er http:// vóór moeten tikken. Immers, als mensen niet (te zien) krijgen wat ze willen, zijn ze best creatief (dit in tegenstelling tot mensen die denken dat ze krijgen wat ze willen - op een MITM phishing site die als twee druppels op het origineel lijkt).

2) De servereigenaar is toch bang om bezoekers van het type "tante Truus" te verliezen (d.w.z de Truzen-subset die ijzerenheinig toch domein.tld in de URL balk blijft tikken en niet leert dat ze er http:// vóór moeten zetten als het niet werkt). De eigenaar kan er dan voor kiezen om een https variant van de "main page" van de site te maken en die meteen naar de echte main page te laten redirecten - via http. Dan werken alle links naar andere http content gewoon.

3) Die eigenaar kan er ook voor kiezen om meteen de hele site https te maken. Hoewel dat lastig is met externe http content waar nog geen https equivalent voor bestaat, wordt dat wel elke dag ietsje makkelijker doordat de rest van de wereld ook op https overstapt.

Kortom, er is wat collateral damage, maar de winst (met name buiten Nederland, maar ook in ons kikkerlandje staan gehackte thuisrouters die kwaadaardige DNS servers gebruiken) is zo groot dat ik die "schade" verwaarloosbaar vind.

En waarom er "heel, echt heel veel sites stuk aan gaan" mag je mij uitleggen, want wellicht zie ik iets over het hoofd?
25-07-2018, 07:54 door Anoniem
Door Anoniem: Leuk dat er aandacht besteed wordt aan de beveiliging van de verbinding, maar ik denk dat dat wel het minst spannende is aan websitebeveiliging. Ik heb liever een website die alleen via HTTP benaderbaar is, maar bestand tegen SQL injection, dan een HTTPS website die kwetsbaar is voor SQL injection.

Hoewel ik het eens ben, is dat niet makkelijk op grote schaal te forceren; https wel. Daarom vind ik het een goed initiatief en een stap in de goede richting.
25-07-2018, 08:33 door -karma4
Door Bitwiper: Als een surfer een site, die geen https ondersteunt, opent door de domeinnaam zonder protocolaanduiding in de URL-balk van de browser in te voeren, bijv. proshots.nl (een site van een club fotografen), en de browser daar https://proshots.nl/ van maakt, dan zal de gebruiker zien dat zij een verkeerde URL heeft ingetikt (want er verschijnt een foutmelding, althans op dit moment bij mij).

DAT DOET DE BROWSER HELEMAAL NIET! (ZELF https ERVOOR ZETTEN).
25-07-2018, 09:59 door root
Niet zo schreeuwen, ik ben niet doof...
25-07-2018, 12:41 door Bitwiper
Door The FOSS:
Door Bitwiper: Als een surfer een site, die geen https ondersteunt, opent door de domeinnaam zonder protocolaanduiding in de URL-balk van de browser in te voeren, bijv. proshots.nl (een site van een club fotografen), en de browser daar https://proshots.nl/ van maakt, dan zal de gebruiker zien dat zij een verkeerde URL heeft ingetikt (want er verschijnt een foutmelding, althans op dit moment bij mij).

DAT DOET DE BROWSER HELEMAAL NIET! (ZELF https ERVOOR ZETTEN).
Als je mijn bijdrage helemaal had gelezen, had je gezien dat ik dat graag wil - in elk geval in de situatie dat de browser nog geen HSTS header van de site ontvangen heeft (want als de browser wel een HSTS header van de site ontvangen heeft, en je tikt uitsluitend domain.tld, dan zetten moderne browser wel degelijk "https://" voor de domeinnaam voordat ze de verbinding op proberen te zetten).

Overigens moet ik wel terugkomen op mijn voorstel om (in de situatie dat https:// de default zou zijn): op het moment dat je dan een foutmelding krijgt, om dan maar de http variant te proberen is geen goed idee (wat overigens alleen lukt als jouw browser nog geen of a niet meer geldige HSTS info meer van de site heeft). Want dan kan een MITM simpelweg https verkeer blokkeren of jouw browser een vals certificaat geven, om jou te dwingen http te gebruiken - om die sessie vervolgens volledig te kunen MITM-en.
25-07-2018, 17:06 door Anoniem
Volgende logische campagne van EFF etc heet "HSTS Everywhere", maar dan ook niet alleen op het hoofddomein maar ook op de sub-domeinen. Zie https://github.com/mozilla/http-observatory-website/issues/64

Zie een van de voorgestelde aanbevelingen voor deze site: https://observatory.mozilla.org/analyze/www.eastdane.com
Re: https://infosec.mozilla.org/guidelines/web_security#http-strict-transport-security

Toch liever een andere browser dan chrome op de android?

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.