image

Google onder vuur over verbergen www-subdomein in Chrome

maandag 10 september 2018, 11:38 door Redactie, 24 reacties

Google is onder vuur komen te liggen omdat het in Chrome 69 "triviale subdomeinen" zoals www niet meer in de adresbalk weergeeft. Niet alleen zorgt de maatregel in bepaalde gevallen voor problemen, het wordt door tegenstanders ook een beveiligingsrisico genoemd.

Verschillende veelgebruikte subdomeinen zoals "m" en "www" worden in Chrome 69 verborgen. De browser laat in het geval van www.example.com en m.example.com alleen example.com zien. Het kan echter zijn dat www.example.com en m.example.com naar verschillende pagina's wijzen. Tegenstanders waarschuwen dat het voor een aanvaller veel eenvoudiger wordt om zich als het hoofddomein voor te doen. Google is dan ook gevraagd om de maatregel terug te draaien, maar heeft nog niet laten weten of het dit ook zal doen.

Chrome-gebruikers die hierop niet willen wachten kunnen in de adresbalk "chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains" invoeren en vervolgens voor de optie "Disabled" kiezen.

Image

Reacties (24)
10-09-2018, 12:11 door Pandit
Ik ben geen chrome gebruiker, maar als deze "feature" binnen de opties is uit te schakelen dat zie ik niet zo'n groot probleem, en daarbij is Chrome niet de enige browser..
10-09-2018, 12:26 door mrunix
is uit te schakelen. jawel. maar waarom staat het uberhaupt aan ??

is niet de enige. nee. meneer holleeder is niet de enige crimineel. maakt dat zijn misdaden minder ernstig ?? helpt dat ?? dacht het niet toch ???

Door Pandit: Ik ben geen chrome gebruiker, maar als deze "feature" binnen de opties is uit te schakelen dat zie ik niet zo'n groot probleem, en daarbij is Chrome niet de enige browser..
10-09-2018, 13:04 door Anoniem
Door Pandit: Ik ben geen chrome gebruiker, maar als deze "feature" binnen de opties is uit te schakelen dat zie ik niet zo'n groot probleem, en daarbij is Chrome niet de enige browser..

Omdat www.pietje.puk iets totaal anders kan zijn dan m.pietje.puk of likmnreet.pietje.puk.
10-09-2018, 13:15 door Anoniem
Niet alleen dat, ook alles na de ?var=etc - hetgeen ikzelf een nog groter onnodig risico vind.
10-09-2018, 13:25 door Anoniem
Waarschijnlijk is de bedoeling om van de gebruikers een zoekopdracht te verkrijgen in de adresbalk
in plaats van dat men er de volledige url/uri gaat invullen. Ook slechts voor links posten.

Aan de zoekopdracht valt namelijk meer te verdienen. voor Google. Zo simpel ligt het.
Tonen ze de echte website pagina of de Google-AMP versie?

Komen ze hier ook weer mee weg? Voorlopig wel dus.
Zo gaat het steeds een stapje verder naar het beoogde doel.

Geen "piep" van de protocol beheerders of via de EU, GDPR, AVG?

Google wordt geen strobreed in de weg gelegd, want zowat eenieder heult stiekem mee met Google.
10-09-2018, 13:59 door Korund
Dit is net zo'n onzinnig beveiligingslek als het door Windows Explorer default verbergen van filenaam-extensies.
Ik heb inderdaad zo'n domeinnaam waar je met www bij een andere host uitkomt als zonder www.
10-09-2018, 14:42 door Briolet - Bijgewerkt: 10-09-2018, 14:43
Ik zie het security risico niet. In tegendeel.

De meeste gebruikers weten niet hoe een url opgebouwd is en kunnen juist misleid worden door bekend klinkende subdomeinen. Door alleen het kale domein in de browserbalk te tonen, weet de doorsnee gebruiker beter waar hij aan toe is.

Safari doet het al een hele zijn en ik ben er tevreden over. Bij deze site zie ik ook alleen maar "security.nl". En de mensen die weten hoe subdomeinen werken, klikken gewoon even in de url balk, waarna ze de hele url met subdomeinen en het pad erachter zien.
10-09-2018, 14:44 door packetguy
Het slaat ook nergens op en is technisch niet te onderbouwen. een subdomein www.domein.nl en domein.nl zijn 2 verschillende hostnamen en hoeven niet gerelateerd te zijn aan elkaar. Sure het moet altijd van dezelfde domein beheerder komen maar ik zie geen reden om te verbergen op welk subdomein je zit, het is simpelweg niet logisch.
10-09-2018, 15:06 door Anoniem
Door Briolet: Ik zie het security risico niet. In tegendeel.

De meeste gebruikers weten niet hoe een url opgebouwd is en kunnen juist misleid worden door bekend klinkende subdomeinen. Door alleen het kale domein in de browserbalk te tonen, weet de doorsnee gebruiker beter waar hij aan toe is.

Safari doet het al een hele zijn en ik ben er tevreden over. Bij deze site zie ik ook alleen maar "security.nl". En de mensen die weten hoe subdomeinen werken, klikken gewoon even in de url balk, waarna ze de hele url met subdomeinen en het pad erachter zien.

Hier ben ik het mee eens,
Het is allemaal van dezelfde domein houder. Ohw nee, mn m.whatever.huh is gehacked maar mn www.whatever.huh niet?
Kom op jongens, als de 1 onveilig is, is de ander het ook. Niks mis met deze feature. En als je die dingen zo nodig wil zien kan je dubbelklikken op de url balk. De mensen die daar last van hebben snappen sowieso al niks van URLs.
10-09-2018, 16:01 door Anoniem
Tip: Als je dubbelklikt op de adresbalk, zie je de volledige URL.
10-09-2018, 16:16 door Briolet
Ik heb even naar de allereerste zin in de openingspost op reddit gekeken. (De link met tegenstanders). Daar beginnen ze al met onzin, waaruit blijkt dat ze niet weten waar ze over schrijven:

http://pool.ntp.org … goes to a random ntp server.

Deze 'tegenstander' weet blijkbaar niet dat http, standaard over poort 80 gaat en dat ntp verkeer over poort 123. Hij heeft niet eens de moeite genomen om zijn bewering in een browser te testen, want dan hat hij geweten dat http://pool.ntp.org via een redirect naar https://www.pool.ntp.org wijst. En zeker geen tijd server, zoals hij beweerd.

Wat is de deskundigheid dan van de rest van zijn betoog?
10-09-2018, 16:51 door Anoniem
Door Briolet: Ik heb even naar de allereerste zin in de openingspost op reddit gekeken. (De link met tegenstanders). Daar beginnen ze al met onzin, waaruit blijkt dat ze niet weten waar ze over schrijven:

http://pool.ntp.org … goes to a random ntp server.

Deze 'tegenstander' weet blijkbaar niet dat http, standaard over poort 80 gaat en dat ntp verkeer over poort 123. Hij heeft niet eens de moeite genomen om zijn bewering in een browser te testen, want dan hat hij geweten dat http://pool.ntp.org via een redirect naar https://www.pool.ntp.org wijst. En zeker geen tijd server, zoals hij beweerd.

Wat is de deskundigheid dan van de rest van zijn betoog?

Je begrijpt dat dit zijn punt juist kracht bijzet? In geval van pool.ntp.org zou het helemaal niet meer werken in je browser (verkeerd protocol). Maar als je naar de webpagina gaat middels de www prefix kan het wel (ondanks dat je bij chrome in beide gevallen nu hetzelfde zou zien).
10-09-2018, 16:58 door mrunix
en wat denken we hier van :

als ik een email adres heb : jan.doedel@gmail.com

dan zal een emailtje aan jandoedel@gmail ook in dat adres terecht komen.
want die punt doet er niet toe, volgens, Google.

dus mocht u jan.de.vries@gmail.com heten...... dan heeft u nu begrepen waarom u al die rare mailtjes krijgt van mensen die u niet kent.....
10-09-2018, 22:02 door Anoniem
Door Korund:Ik heb inderdaad zo'n domeinnaam waar je met www bij een andere host uitkomt als zonder www.
Heb ik ook.
Ik gebruik chromium (versie 69.0.3497.81) en staat de www. er nog gewoon voor.
Nu ja chrome is niet chromium, daar zit nog een reality filter tussen :) kennelijk.
10-09-2018, 22:08 door ROGGER
Waarom iets veranderen waar geen vraag naar is?
10-09-2018, 22:50 door [Account Verwijderd] - Bijgewerkt: 10-09-2018, 22:56
Door ROGGER: Waarom iets veranderen waar geen vraag naar is?

Heel simpel: omdat Google deze "feature" wil gebruiken om mensen te heropvoeden. Hoe? Door niet meer de url in te tikken, maar door de url-balk langzaam aan te transformeren tot een zoekbalk (wat het feitelijk al is). Hoe meer zoekopdrachten er via Google lopen, hoe beter voor hen. Want jouw data verzamelen en natuurlijk gerichte advertenties.

Als we niet uitkijken gaat Google op termijn tussen de gebruikers en het internet in zitten. Daarmee bedoel ik dat je met Chrome dan alleen nog via zoekopdrachten het internet op kan. Uiteraard èn exclusief via Google dus. Ik heb vaker controversiële voorspellingen gedaan in mijn kringen, maar tot nu toe is alles gewoon uit gekomen en heb ik het gelijk aan mijn zijde gekregen.

Ik ben al vanaf dag één bij Firefox gebleven, ook toen ze het moeilijk hadden. Voor mij was Firefox sinds het begin nummer één, en dat zal het ook blijven (is mijn verwachting).
10-09-2018, 23:48 door Anoniem
Er is nog meer mis bij Google; ze gebruiken namelijk self signed certificaten.... Controleer het certificaat van www.google.com maar eens; inderdaad ondertekend door Google zelf.

Google heeft een grote mond door andere te wijzen op veiligheid maar zelf maken ze er een potje van.
11-09-2018, 01:16 door Anoniem
Door Korund: Dit is net zo'n onzinnig beveiligingslek als het door Windows Explorer default verbergen van filenaam-extensies.
Ik heb inderdaad zo'n domeinnaam waar je met www bij een andere host uitkomt als zonder www.

Precies. Het is gewoon dom. Maar verkopers leren langzaam van eerder gemaakte fouten.
(zeker als die de maker geen windeieren gelegd hebben)
11-09-2018, 01:23 door Anoniem
Door Briolet: Ik heb even naar de allereerste zin in de openingspost op reddit gekeken. (De link met tegenstanders). Daar beginnen ze al met onzin, waaruit blijkt dat ze niet weten waar ze over schrijven:

http://pool.ntp.org … goes to a random ntp server.

Deze 'tegenstander' weet blijkbaar niet dat http, standaard over poort 80 gaat en dat ntp verkeer over poort 123.

Dan heb je het niet begrepen, hij gaat naar een ntp server en haalt daar een http pagina op. Dat is dus een poort 80 request naar een server die normaal poort 123 serveert (maar misschien ook poort 80). Het is dan dus een http EN een ntp server.


Hij heeft niet eens de moeite genomen om zijn bewering in een browser te testen, want dan hat hij geweten dat http://pool.ntp.org via een redirect naar https://www.pool.ntp.org wijst. En zeker geen tijd server, zoals hij beweerd.

Dan heb je niet begrepen hoe het werkt. pool.ntp.org KAN dat helemaal niet centraal regelen. Het is een aanbeveling om te zorgen als je een NTP server in de pool hebt op een machine waarop OOK http draait, om dan in je webserver te regelen dat mocht iemand pool.ntp.org als hostnaam opgeven, je dan een redirect naar www.pool.ntp.org doet.
Maar dat is geen verplichting en lang niet iedereen doet dat. Toen ik het net probeerde kreeg ik een Debian default server pagina.


Wat is de deskundigheid dan van de rest van zijn betoog?
En van jouw betoog?
11-09-2018, 08:53 door Anoniem
Straks als geavanceerde gebruiker kun je eerst standaard 10 minuten van je leven gaan zitten verspillen in een soort van about:config maar dan in chrome.. Zeer vervelend dit.

Waarom krijg je deze optie niet bij het installeren?
Dan hebben we tenminste zelf nog de keuze. Mensen die er niets van snappen boeit dit toch geen drol.
11-09-2018, 11:33 door Anoniem
Door Anoniem: Straks als geavanceerde gebruiker kun je eerst standaard 10 minuten van je leven gaan zitten verspillen in een soort van about:config maar dan in chrome.. Zeer vervelend dit.
Net als bij Firefox kun je als geavanceerd gebruiker zelf een lijstje preferences instellen en locken bij het installeren,
alleen moet je je daar dan wel in verdiepen. Dat is inderdaad wel eens vervelend.
11-09-2018, 11:57 door Anoniem
Bij mij wordt de gehele URL sinds vanochtend weer weergegeven.
13-09-2018, 08:10 door Anoniem
Google en hun Chrome lijken ook gewoon onbetrouwbaar geworden, net als het nu ‘berucht’ geworden 'FB'.
Het marktaandeel van IE11 bijv. is nog steeds heel groot en dat steekt hen waarschijnlijk?

Hier een bloemlezing van de on-screen spam waarmee ze bijv. de IE gebruikers dagelijks 'bombarderen':
•Download Google Chrome NEE/JA
•Bekijk Youtube video's met Google Chrome. JA, Chrome nu downloaden.
•Google raadt Chrome aan Proberen? NEE/JA
•Stel Chrome in als standaardzoekmachine en zoek sneller. 'Ja, graag'.
•Kom je hier vaker? Stel Google in als uw startpagina. 'Prima'.
•Probeer eens Google Chrome! Google raadt Chrome aan. Proberen? JA/NEE
•Stel Google in als standaard zoekmachine en zoek sneller. 'Ja, graag'
Natuurlijk best gewoon nooit reageren op al die on-screen Google 'himself' komende spam de-facto reclame berichten.

Ook hun recente bizarre opgedrongen software strapatsen de laatste tijd zijn bedenkelijk:
Het begon al met het onaangekondigd bijzonder storend gedoe met het eindeloos ‘Contacten laden’ van Gmail, hetgeen ook nooit een probleem was met IE, maar toevallig werkte het laden van dezelfde contacten wel vlot met hun Chrome…
En verder:
https://www.security.nl/posting/575983/Google+Chrome+zonder+URL%3F
https://www.security.nl/posting/576552/Sites+moeten+_www+schrappen%21
https://www.security.nl/posting/576436/Google+onder+vuur+over+verbergen+www-subdomein+in+Chrome

Al die aanmaningen en dito opdringerigheid zijn nogal ongepast en ook heel toevallig weeral niet opgemerkt door het AVG/GDPR actueel heksentribunaal hun nieuwste bijna ‘totalitair’ vehikel, heel raar zou je kunnen denken.
Ze, Google dus, gebruiken natuurlijk ongeoorloofde software 'spying tools' hiervoor, die ook heel moeilijk te neutraliseren zijn.

Er bestaat toch ook zoiets als browserkeuze-vrijheid en zoekmachinekeuze-vrijheid en dat moeten ze maar eens goed leren beseffen en ook aanvaarden.
Het is ook beetje grappig: Velen of de meeste hebben allang ook Chrome, Firefox, Opera e.a. ook geïnstalleerd, maar niet als standaard ingesteld, maar dat is nu precies wat ze zó graag willen.
Trouwens, ook alternatieve zoekmachines als Startpage.com werken goed en hun zoekresultaten zijn prima.

En verder al die onverklaarbare recente IE crashes, opnieuw zoiets als soms ‘niet laden’ wie of wat zou daar mogelijk achter zitten? Het is allemaal te herstellen hoor maar ook best vervelend.
Weet zeker dat een bepaalde financiële site plots helemaal niet meer werkte op IE, wel toevallig werkte diezelfde site even plots wel op Chrome (!) het was maar een certificaatfoutje (…), even de internettijd opnieuw instellen en het was gefixt! (IE).

Ze mogen dan zogeheten 'efficient' zijn maar veel internetters zijn ze ook evengoed beetje zat wegens overdreven aanmatigend en zeg maar verkapt ‘dictatoriaal’ gedrag. Het lijken net ultracorrupte en wereldvreemde EU 'commie' bonzen en co!
Alle browsers en zoekmachines hebben nu eenmaal hun specifieke eigenschappen, pro en contra.
Iedereen kiest maar wat hij zelf wil, dat is echte democratie en geen enkele browser of zoekmachine moet het alleenrecht van bestaan hebben. Dit kan gemakkelijk naar een virtuele soort internet dictatuur leiden, wat we best kunnen missen als de ‘eigentijdse pest’.

Trouwens, er waren al enkele niet mis te verstaan voorspellingen en waarschuwingen in die zin
https://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow#Goolag_campaign (2006)
Zie voooral de paragraaf ‘Goolag campaign’
En het virtueel begrip 'Goolag' bestaat ook echt en is geen fabeltje brr…; zou er een toch heus virtueel op AI gesteund goelag op internet in de maak zijn? Het zou best kunnen, met al die ‘neo-commie’ bonzen alhier.
https://nl.wikipedia.org/wiki/A.I.:_Artificial_Intelligence (SF film 2001)
https://nl.wikipedia.org/wiki/Mr._Roboto (song 1983)
https://en.wikipedia.org/wiki/Goolag (2017)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.