image

Google verbergt https en www in adresbalk Chrome

donderdag 1 augustus 2019, 10:59 door Redactie, 15 reacties
Laatst bijgewerkt: 01-08-2019, 16:06

Google heeft de vermelding van https en www in adresbalk van Chrome verborgen. Dit moet het lezen en begrijpen van url's eenvoudiger maken, zo laat het techbedrijf weten. "We zullen de url-onderdelen verbergen die irrelevant voor Chrome-gebruikers zijn", zegt Emily Schechter, Chrome Product Manager.

Vorig jaar september kwam Google onder vuur te liggen omdat het in Chrome 69 "triviale subdomeinen" zoals www niet meer in de adresbalk weergaf. De browser liet in het geval van www.example.com en m.example.com alleen nog maar example.com zien. Volgens tegenstanders was de maatregel een beveiligingsrisico en zou het aanvallers kunnen helpen. Daarnaast waren er allerlei praktische bezwaren. Vanwege de kritiek besloot Google de maatregel terug te draaien.

Met de lancering van Chrome 70 was Google echter weer van plan om het www-subdomein in de adresbalk te verbergen. De maatregel werd doorgevoerd in de testversies van Chrome, maar niet in de definitieve versie. Nu meldt Schechter dat het ook in de stabiele versie van Chrome kan worden ingeschakeld. "We zijn van plan om https en het subdomein www in de Chrome-omnibox op de desktop- en Androidversie van Chrome 76 te verbergen."

Schechter voegt toe dat Google een extensie heeft ontwikkeld voor het rapporteren van verdachte websites. Via deze extensie kunnen "power users" de volledige url in de adresbalk weergeven. Daarnaast is de volledige url ook zichtbaar door bij de desktopversie twee keer op de adresbalk te klikken en in het geval van de mobiele versie één keer. Wederom hebben gebruikers kritiek op Googles voornemen.

Update

De maatregel is inmiddels al doorgevoerd. Hierop is het artikel aangepast.

Reacties (15)
01-08-2019, 11:46 door [Account Verwijderd]
Chrome 76 is live btw, en toont geen https://www. op security.nl, behalve als je naar de omnibox gaat met CTRL+L, of 2x op de omnibox klikt.
01-08-2019, 11:54 door [Account Verwijderd] - Bijgewerkt: 01-08-2019, 11:55
Een windvaan op een torenspits zit hierbij vergeleken vastgeroest!

De "gebruikers van Google" zijn ook Tante Miep en Ome Piet en die snappen er - als zij voor hun doen security aware zijn - geen ene moer meer van door toedoen van dit http(s) en www 'gedraai' van Google/Chrome.

Ergerlijk vind ik helemaal dat prima bijdragen zoals: https://www.security.nl/posting/564452/https+voor+leken waarin helder wordt uitgelegd wat je kunt verwachten (en niet) van https door dit gedraai van Chrome behoorlijk zinloos wordt want je ziet alleen nog in de URL balk: security.nl
01-08-2019, 12:01 door Anoniem
"We zullen de url-onderdelen verbergen die irrelevant voor Chrome-gebruikers zijn", zegt Emily Schechter, Chrome Product Manager.
Maar dan bepaal je wel wat irrelevant is voor die gebruikers in plaats van het hen zelf te laten bepalen, was mijn eerste gedachte. Als je leest wat ze werkelijk schreef ging het echter om de meeste Chrome-gebruikers. Da's geen onbelangrijk detail, @redactie.

In de jaren 1970 heb ik op de middelbare school een fenomenaal goede wiskundeleraar gehad. Wat hem zo goed maakte is dat hij doorhad dat veel leerlingen zo geïntimideerd raakten van dingen die er ingewikkeld uitzagen dat hun verstand op nul ging, en dat hij die angst voor dingen die er ingewikkeld uitzien met veel geduld weg wist te nemen. Resultaat: opvallend veel mensen konden opvallend moeilijke wiskunde aan als ze hem als leraar hadden.

Dat talent om die angst voor dingen die er ingewikkeld uitzien weg te nemen heb ik niet, maar ik heb het verschijnsel vaak genoeg zien optreden dat mensen afhaken, niet omdat ze iets niet aankunnen maar omdat ze niet geloven dat ze het aankunnen. En URI's in een adresbalk van een browser horen voor veel mensen duidelijk tot de dingen die ze er te ingewikkeld uit vinden zien en waar hun verstand bij op nul gaat.

Ik snap de neiging bij Google om dingen te verbergen om zo de belangrijke onderdelen boodschap voor die (grote) groep mensen beter aan te laten komen. Tegelijk strijkt het me behoorlijk tegen de haren in, deels omdat ik het zelf wel wil zien en deels omdat ik ervan overtuigd ben dat heel wat mensen het gewoon zouden aankunnen als ze niet bij voorbaat zouden denken dat het te ingewikkeld voor ze is. En dan is een manier van presenteren die niet dingen verbergt maar het overzichtelijk maakt wellicht een betere benadering.

In Firefox is in de adresbalk het deel van het domein waaraan je kan zien met welke organisatie je te maken hebt zwart en de rest grijs. Dat verschil mag van mij nadrukkelijker: maak "security.nl" of "bbc.co.uk" behalve zwart ook maar vet; laat het er echt duidelijk uitspringen. In combinatie met een duidelijk visueel onderscheid tussen http, "gewoon" https en https op basis van een EV-certificaat levert dat een duidelijk en eenvoudig uit te leggen beeld op van waar je op moet letten.
01-08-2019, 12:07 door Briolet - Bijgewerkt: 01-08-2019, 12:11
Door Pawnheart:… want je ziet alleen nog in de URL balk: security.nl

Nee, want je ziet ook nog het slotje. Voor de leek zegt een slotje meer dan het verschil tussen http en https. Nu zie je in een oogopslag met welke site je te maken hebt.
Safari doet dit al heel lang. Ik vind het duidelijk en als ik de hele url wil zien, klik ik op de adresbalk.
01-08-2019, 12:33 door Bitwiper - Bijgewerkt: 01-08-2019, 12:37
Goed idee van Google! Not.

Zie https://www.bleepstatic.com/images/news/security/phishing/o/office-365/admin-alerts/faking-ms-login-page.jpg (en https://www.bleepstatic.com/images/news/security/phishing/o/office-365/admin-alerts/certificate.jpg voor het bij die pagina horende geldige certificaat van Microsoft) of lees https://www.bleepingcomputer.com/news/security/phishers-target-office-365-admins-with-fake-admin-alerts/ voor de hele uitleg.

Aanvulling: @Pawnheart, thanks voor het noemen van een eerdere pagina van mij :-)
01-08-2019, 12:52 door Anoniem
"We zijn van plan om https en het subdomein www in de Chrome-omnibox op de desktop- en Androidversie van Chrome 76 te verbergen."
In dat geval: best.

Dus www.security.nl zien we als security.nl
Maar phishing.security.nl blijft phishing.security.nl (hoop ik)
01-08-2019, 13:25 door Anoniem
Waarom ga je als Google gesteund door EFF etc. eerst "roeiboten losmaken" met campagnes als HTTPS Everywhere,
terwijl je weet dat je nooit 100% implementatie gaat halen (ook niet bij belangrijke sites waar dit wel echt nodig is)
om later een zwalkend beleid te gaan voeren.

De non-savvy gebruiker snapte al meestal niet, dat het alleen de beveiliging van de connectie betrof,
maar nu wordt het beleid nog verder verwarrend. Wat is er nog groen aan het slotje?

Als er geen eenduidig beleid wordt gevoerd, gaat dat lijden tot misbruik (abuse),
omdat je niet de juiste signalen afgeeft.

Benieuwd hoe het zal verlopen met HSTS Everywhere, dat ik ook als extensie in de browser heb.
Of je doet het goed of overal halfbakken.

We moeten ook wel begrijpen, dat Google alleen die beveiligingsmaatregelen ondersteunt,
die de eigen "core business" niet in de weg zitten. Zo zijn ze dan ook wel weer.

Loop eens door: https://atlas.eff.org//

Vreemd dat als je HTTPS Everywhere extensie in avast secure browser wil installeren bijvoorbeeld,
je een waarschuwing krijgt vanwege de "rewrite" regel aanpassingen.
Gaat webschild https scannen minder dan?

luntrus
01-08-2019, 13:57 door [Account Verwijderd]
Door Briolet:
Door Pawnheart:… want je ziet alleen nog in de URL balk: security.nl

Nee, want je ziet ook nog het slotje. Voor de leek zegt een slotje meer dan het verschil tussen http en https. Nu zie je in een oogopslag met welke site je te maken hebt.
Safari doet dit al heel lang. Ik vind het duidelijk en als ik de hele url wil zien, klik ik op de adresbalk.

Dat klopt van dat slotje. Ik gebruik geen Macintosh maar ik weet wel dat Safari in de signalering van de betrouwbaarheid van een website het meest consequent is. Feitelijk is dat prima, want juist de 'veranderitis' veroorzaakt een boel ruis!
Maar dat slotje: daar draait dus wel een deel van de discussie over 'secure/insecure om.
Dat slotje kan zeggen "Het is hier OK", maar dat hoeft niet persé zo te zijn.

Betaalvereninging Nederland heeft dat ook als een kenbaar gemaakt:

https://www.veiligbankieren.nl/nieuws/alleen-groen-slotje-is-geen-garantie-voor-veilige-website/
01-08-2019, 15:52 door Bitwiper
Door Bitwiper: Goed idee van Google! Not.
Oeps, sorry, verkeerd gelezen: ik dacht dat Google alleen nog maar het hoofddomein wilde laten zien (in het eerste door mij genoemde plaatje zou dat dan windows.net zijn).

De warmte kan het niet zijn, koffie of slaapgebrek wellicht - nogmaals sorry!
01-08-2019, 20:36 door Anoniem
Het is verschrikkelijk om te zien dat elke browsermaker nu zijn eigen voorkeur er op nahoud:

* Chrome - Slotje of EV-naam cert + geen https://www. + domein
* Safari - Slotje (alleen groen voor EV) + geen https:// + www. + domein
* Edge - Compleet
* Firefox. - Compleet (waarbij domein duidelijker leesbaar is dan de rest)
* IE - rommel op zichzelf ;)

Mijn persoonlijke voorkeur ligt nog steeds bij hoe firefox het doet.
Safari doet het het slechts: banken sites zijn niet meer te onderscheiden van phishing sites, alleen op domein (maar ja, bank.nI leest iedereen toch hetzelfde als bank.nl).
01-08-2019, 21:53 door Anoniem
Dus weer en leverancier die meent voor mij te moeten nadenken.

Ohnee, Chrome was al een tijdje geleden afgeschoten.
02-08-2019, 09:48 door Briolet
Door Anoniem: Dus weer en leverancier die meent voor mij te moeten nadenken.

Ohnee, Chrome was al een tijdje geleden afgeschoten.

En wat is daar mis mee? Als de browsers helemaal niet voor jou zouden nadenken, kreeg je de data nog altijd als hexcode voorgeschoteld. De rest mag je dan zelf doen.

Maar zonder gekheid: Als een browser vergissingen kan voorkomen, moeten ze dingen ook implementeren. En dan moet je vooral naar de domme mensen kijken, want de slimmen komen er altijd wel uit.
03-08-2019, 10:24 door Tha Cleaner
Waardeloze setting. gelukkig ongedaan te maken met:
chrome://flags/#omnibox-ui-hide-steady-state-url-trivial-subdomains
03-08-2019, 11:12 door Anoniem
Google verbergt... Wat verbergt Google allemaal nog meer, dat wij eigenlijk wel eens zouden willen weten,
maar nooit hebben kunnen vragen en nooit een antwoord op zullen krijgen als het aan hen ligt?

Ik zou wel eens transparant willen zien wat er onder de motorkap van die browser gebeurt met mijn data.
En niet lappen Wireshark data logs hoeven te analyseren voor een "hunch".

Wie mijn data verder jast over het net, Akamai bijvoorbeeld en andere Cloud-jongens.
Ook allemaal niet zo transparant overigens.

Wie er allemaal in de tussentijd aan verdienen? Op welk bureaublad ze belanden en ook via "verwonder-data"
als je in een achterstandswijk woont. Waar je afluistergegevens allemaal belanden?

Is er dan veel verschil tussen een http adres waar ik zelf via Intellitamper kan zien wat er zoal op de server staat,
of de https gegevens, die alle kanten opgaan, maar waar sommigen ook onversleuteld
of slechts voor anderen versleuteld toegang toe hebben.

Wie maakt dat is eens helder in deze surveillance maatschappij en wie roept Google etcetera daarover eens tot de orde.
Het blijft voorlopig oorverdovend stil.

Jodocus Oyevaer
03-08-2019, 13:14 door Anoniem
Door Anoniem:
"We zijn van plan om https en het subdomein www in de Chrome-omnibox op de desktop- en Androidversie van Chrome 76 te verbergen."
In dat geval: best.

Dus www.security.nl zien we als security.nl
Maar phishing.security.nl blijft phishing.security.nl (hoop ik)

"De browser liet in het geval van www.example.com en m.example.com alleen nog maar example.com zien"

Dus ik zie niet waarom: "m.example.com" wel "example.com" wordt, maar phishing.security.nl ineens phishing.security.nl blijft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.