Firefox 70 gaat alle http-sites als niet veilig bestempelen
Mozilla is van plan om in Firefox 70 alle http-sites als niet veilig te bestempelen. De browserontwikkelaar volgt daarmee Google, die dit al enige tijd in Chrome doet. Firefox waarschuwt al sinds 2017 voor http-websites die zonder een beveiligde verbinding inlog- en creditcardgegevens verwerken.
De waarschuwing wordt nu uitgebreid naar alle http-sites. In de adresbalk van Firefox zal straks bij websites die via http worden aangeboden de melding "niet veilig" verschijnen. Dat meldt Firefox-ontwikkelaar Johan Hoffman in Mozillas Google-groep. Volgens Hoffman wordt inmiddels 80 procent van de webpagina's in Firefox over https geladen. Tevens wijst de Firefox-ontwikkelaar naar onderzoek waaruit zou blijken dat gebruikers het ontbreken van een "positieve indicator", zoals een slot-icoon of de vermelding van https, niet opmerken (pdf).
Daarom wil Mozilla net als Google in Chrome en Apple in Safari bij http-sites de melding "niet veilig" tonen. Google besloot deze maatregel vorig jaar juli in de eigen browser door te voeren. De maatregel staat voor Firefox 70 gepland, die op 22 oktober dit jaar moet uitkomen. Binnenkort komt Mozilla met meer informatie over de aanpassingen aan de security-gebruikersinterface in de browser en de redenen hiervoor.
Gebruikers die niet op de aanpassingen willen wachten kunnen nu al via de instellingen van Firefox alle http-sites als niet veilig bestempelen. Sinds 2017 wordt er via de optie "security.insecure_connection_icon.enabled" in about:config bij http-sites een icoon met een rode streep getoond.
Hè hè, waarom nu weer zo'n buitenproportionele krachtterm?
Is normale flauwekul je niet genoeg? Neen blijkbaar. Totale flauwekul moet het zijn.
Pfff....denk je anders (ervaringsgewijs) niet serieus te worden genomen?
Het is niet fout van Firefox om dit te doen.
Dat het niet helemaal klopt weten jij en ik en menigeen hier.
Maar Firefox bedient ook Jan en Katrijn Middelmens.. Dat weten jij en ik en menigeen hier ook.
Firefox doet gewoon wat een wegbeheerder ook doet: verkeersbord J08 plaatsen bij een onoverzichtelijke kruising, ook al is die kruising gesitueerd in niemandsland...het blijft een kruising die gevaarlijk kan zijn voor jij en ik en menigeen hier, maar ook voor Jan en Katrijn Middelmens.
Als je dat relativeringsvermogen niet hebt moet je de zwart/witbril eens afzetten en leren kleuren te kijken...
net als chromium/Chrome, hier te arriveren. Zij waren de eersten, die het https everywhere project startten.
Inderdaad beseffen Jan en Katrijn Middeldmens niet, dat https nog niets hoeft te zeggen
omtrent de veiligheid van dewebsite achter de zogenaamde veilige verbinding.
Het zegt dus alleen iets over de verbinding a.k.a. connectie, samen met andere implicaties (header, preloading etc.)
Wel handig voor de cloudboer, die bepaalde zaken uit het oog wil houden
en natuurlijk goed voor Google's core business. die bestaat uit zoveel mogelijk
en soms ongemerkt zoveel mogelijk "data-jassen" tegen een hoogst profijtelijke opbrengst.
Er zitten dus zowel duidelijk veiligheidsaspecten als aspecten uit surveillance kapitalistisch standpunt aan https://.
#sockpuppet
1) Je conclusie klopt niet. Zie eerder genoemde MiTM risico, bijvoorbeeld.
2) Als je een vraag stelt, sta dan ook open voor antwoorden, i.p.v. een standpunt alvast als onzin te bestempelen.
Bij andere adviezen krijg ik juist een aanbeveling om een dergelijke extensie te installeren, omdat een heleboel sites nog gemengde http/https content aanbieden en al mijn verkeer dan niet via een veilige connectie tunnel zou gaan.
Kan iemand mee iets uitlegggen, waarom zulke tegenstrijdige adviezen worden gegeven en waarom de waarschuwing voor het installeren van de extensie "https everywhere"?
J.O.
As I replied before, you should understand that you can still use SSLstrip against HTTPS Everywhere. By searching a bit, I also came across this link and this test (related to the previous link), it seems that HTTPS Everywhere does not protect you against spoofing attacks. Related to this topic, I could also find this one which contains a lot of good information, and this one on how to protect from sslstrip attacks.
info credits gaan naar noktech on stackexchange.
Ergo HTTPS Everywhere is niet geheel fool-proof.
luntrus
is dat het verkeer naar de webserver versleuteld kan zijn,
terwijl het verkeer naar de adserver (Google analytics bijvoorbeeld
of nog tal van andere onder beheer van Google vallende verbindingen gewoon over http gaan,
mixed content dus, het verkeer kan ook nog "gecloakt" anders zijn,
Google en Googlebot zien wat anders).
Kijk het maar na op webcookies.org waar in de tunnel je verbindingen beveiligd zijn en waar niet.
Wat heb je vervolgens aan een veilige verbinding met groen slotje als daar uitzonderingen onderdoorlopen?
Wat is het hele gedoe van https everywhere en http verbindingen zogenaamd uitfaseren voor websites,
als aan de andere kant naar Google en via de cloud een heleboel van je data toch volledig transparant
(voor bepaalde partijen dan) over de draad (liever gezegd niet door de beveiligde tunnel) gaat?
Je overheid heeft een eigen certificaat zodat de belastingdienst alles van je kan weten,
Kazakstan heeft dat nu ook voor al haar burgers zo geregeld.
Google en facebook trekken je helemaal leeg en krijgen af en toe een gelegenheidsboetetje,
want de instanties als NSA etc. zijn maar wat blij jouw gegevens bij Google te kunnen vinden/kopen.
Waarom wordt hier nooit een technische discussie over gevoerd met voorbeelden
hoe aanvallen via Firesheep en SSL strip kunnen worden gemitigeerd
Using Privoxy rule:
echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action
Laten de linux mannetjes zich daar eens druk over maken i.p.v de eeuwigeoppositie propriety versus vrije software,
of liever nog M$-linux en zelden Google android versus vrije android.
Het is niet - de "Ik heb toch niets te verbergen", "het is een achterhoedegevecht" discussie,
die ik mis. Het is de fundamentele discussie hoe bereik je redelijke technische bescherming voor iedereen
en hoe krijg je de brakke bescherming van de burger opgekrikt tegen een suprematie van Big Tech en overheden?
De doos van Pandora staat vol open, hoe krijgen we hem weer dicht? Waar is de purist, de echte onafhankelijke
researcher?
Zelfs op tor en tails redt je het nog steeds niet, zeker niet altijd.
Straks hebben alleen degenen "in the know" nog enige bescherming (de boven- en onderwereld criminelen),
Alle anderen houden zich het best aan deze volgende regel:
"Deel nooit iets met het internet als je niet bereid bent het schreeuwend met de hele wereld te delen
en daarvan de volle consequenties te ondergaan, ook als dat pas veel later jou in je k*nt komt bijten".
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
