Chrome stopt met weergeven ftp-content en public key pinning
De volgende versie van Google Chrome zal geen ftp-content meer in de browser weergeven, ook zal de ondersteuning van public key pinning worden verwijderd. Dat heeft Google bekendgemaakt. Volgens de techgigant is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol.
"Wanneer zelfs de Linux-kernel er afscheid van neemt is het tijd om verder te gaan", laat Google weten. Het stopzetten van de ftp-ondersteuning vindt gefaseerd plaats. Met Chrome 72 zal de browser geen content van ftp-servers meer in de browser weergeven. In plaats daarvan worden afbeeldingen, filmpjes en andere content gedownload. Chrome zal nog wel de inhoud van een ftp-directory weergeven, maar alle non-directory listings downloaden in plaats van in de browser weer te geven. Eerder besloot Mozilla al om in Firefox geen ftp-content meer te laden.
Met Chrome 72 zal Google ook de ondersteuning van public key pinning stopzetten. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt.
Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van "hostile pinning". Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen.
Verder zal Chrome 72 geen pop-ups toestaan tijdens het unloaden van pagina's, ongeacht of de pop-upblocker staat ingeschakeld. Daarnaast heeft Google het einde van de ondersteuning van TLS 1.0 en 1.1 aangekondigd. Deze protocollen worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Zowel TLS 1.0 als 1.1 hebben verschillende zwakheden. Google wil daarom alleen nog TLS 1.2 en nieuwer gaan ondersteunen. Met de lancering van Chrome 81 begin 2020 zal de ondersteuning van TLS 1.0 en 1.1 waarschijnlijk worden stopgezet. Chrome 72 staat gepland voor de week van 29 januari 2019.
Ja, zo kun je nog wel een eind doorredeneren dat er eigenlijk geen beveilging nodig is want er is altijd wel een mogelijkheid bestaat om eromheen te komen of om te misbruiken. Wat browsers ten minste moeten doen is controleren van het CAA record, en controleren van het TLSA record via DNSSEC en dat ook moeten melden aan gebruikers. Nu doet geen enkele browser dat voor zover ik weet.
HPKP is wat anders en werkt met een header in de header die moet matchen met een deel van het certificaat waarbij de browser de 1e keer dat je een site bezoekt, die code bewaart. Lees hier https://scotthelme.co.uk/hpkp-http-public-key-pinning/ voor een uitleg voor normale techneuten.
...TLSA wordt echter maar weinig gebruikt van gemaakt.
...DNSSEC wordt echter maar amper gebruikt van gemaakt.
FTP daarintegen....
Wat is het probleem van een onbeveiligd protocol?
Ik zie niet zo het probleem dat hetweer.nl/ftp/data.csv geen SSL or TLS laag heeft.
Is er uberhaubt nu al 1 bank die DNSSEC gebruikt? abnamro.nl niet, ing.nl niet en rabobank.nl ook niet. Onze centrale bank, dnb.nl niet. Zwitserland en Zweden waren leiders in DNSSEC, maar ubs.ch niet, en handelsbanken.se -je raadt het al- ook niet.
Niemand heeft er blijkbaar werkelijk behoefte aan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
