Chrome 76 is live btw, en toont geen https://www. op security.nl, behalve als je naar de omnibox gaat met CTRL+L, of 2x op de omnibox klikt.

Een windvaan op een torenspits zit hierbij vergeleken vastgeroest!

De "gebruikers van Google" zijn ook Tante Miep en Ome Piet en die snappen er - als zij voor hun doen security aware zijn - geen ene moer meer van door toedoen van dit http(s) en www 'gedraai' van Google/Chrome.

Ergerlijk vind ik helemaal dat prima bijdragen zoals: https://www.security.nl/posting/564452/https+voor+leken waarin helder wordt uitgelegd wat je kunt verwachten (en niet) van https door dit gedraai van Chrome behoorlijk zinloos wordt want je ziet alleen nog in de URL balk: security.nl

Maar dan bepaal je wel wat irrelevant is voor die gebruikers in plaats van het hen zelf te laten bepalen, was mijn eerste gedachte. Als je leest wat ze werkelijk schreef ging het echter om de meeste Chrome-gebruikers. Da's geen onbelangrijk detail, @redactie.

In de jaren 1970 heb ik op de middelbare school een fenomenaal goede wiskundeleraar gehad. Wat hem zo goed maakte is dat hij doorhad dat veel leerlingen zo geïntimideerd raakten van dingen die er ingewikkeld uitzagen dat hun verstand op nul ging, en dat hij die angst voor dingen die er ingewikkeld uitzien met veel geduld weg wist te nemen. Resultaat: opvallend veel mensen konden opvallend moeilijke wiskunde aan als ze hem als leraar hadden.

Dat talent om die angst voor dingen die er ingewikkeld uitzien weg te nemen heb ik niet, maar ik heb het verschijnsel vaak genoeg zien optreden dat mensen afhaken, niet omdat ze iets niet aankunnen maar omdat ze niet geloven dat ze het aankunnen. En URI's in een adresbalk van een browser horen voor veel mensen duidelijk tot de dingen die ze er te ingewikkeld uit vinden zien en waar hun verstand bij op nul gaat.

Ik snap de neiging bij Google om dingen te verbergen om zo de belangrijke onderdelen boodschap voor die (grote) groep mensen beter aan te laten komen. Tegelijk strijkt het me behoorlijk tegen de haren in, deels omdat ik het zelf wel wil zien en deels omdat ik ervan overtuigd ben dat heel wat mensen het gewoon zouden aankunnen als ze niet bij voorbaat zouden denken dat het te ingewikkeld voor ze is. En dan is een manier van presenteren die niet dingen verbergt maar het overzichtelijk maakt wellicht een betere benadering.

In Firefox is in de adresbalk het deel van het domein waaraan je kan zien met welke organisatie je te maken hebt zwart en de rest grijs. Dat verschil mag van mij nadrukkelijker: maak "security.nl" of "bbc.co.uk" behalve zwart ook maar vet; laat het er echt duidelijk uitspringen. In combinatie met een duidelijk visueel onderscheid tussen http, "gewoon" https en https op basis van een EV-certificaat levert dat een duidelijk en eenvoudig uit te leggen beeld op van waar je op moet letten.

Nee, want je ziet ook nog het slotje. Voor de leek zegt een slotje meer dan het verschil tussen http en https. Nu zie je in een oogopslag met welke site je te maken hebt.
Safari doet dit al heel lang. Ik vind het duidelijk en als ik de hele url wil zien, klik ik op de adresbalk.

Goed idee van Google! Not.

Zie https://www.bleepstatic.com/images/news/security/phishing/o/office-365/admin-alerts/faking-ms-login-page.jpg (en https://www.bleepstatic.com/images/news/security/phishing/o/office-365/admin-alerts/certificate.jpg voor het bij die pagina horende geldige certificaat van Microsoft) of lees https://www.bleepingcomputer.com/news/security/phishers-target-office-365-admins-with-fake-admin-alerts/ voor de hele uitleg.

Aanvulling: @Pawnheart, thanks voor het noemen van een eerdere pagina van mij :-)

In dat geval: best.

Dus www.security.nl zien we als security.nl
Maar phishing.security.nl blijft phishing.security.nl (hoop ik)

Waarom ga je als Google gesteund door EFF etc. eerst "roeiboten losmaken" met campagnes als HTTPS Everywhere,
terwijl je weet dat je nooit 100% implementatie gaat halen (ook niet bij belangrijke sites waar dit wel echt nodig is)
om later een zwalkend beleid te gaan voeren.

De non-savvy gebruiker snapte al meestal niet, dat het alleen de beveiliging van de connectie betrof,
maar nu wordt het beleid nog verder verwarrend. Wat is er nog groen aan het slotje?

Als er geen eenduidig beleid wordt gevoerd, gaat dat lijden tot misbruik (abuse),
omdat je niet de juiste signalen afgeeft.

Benieuwd hoe het zal verlopen met HSTS Everywhere, dat ik ook als extensie in de browser heb.
Of je doet het goed of overal halfbakken.

We moeten ook wel begrijpen, dat Google alleen die beveiligingsmaatregelen ondersteunt,
die de eigen "core business" niet in de weg zitten. Zo zijn ze dan ook wel weer.

Loop eens door: https://atlas.eff.org//

Vreemd dat als je HTTPS Everywhere extensie in avast secure browser wil installeren bijvoorbeeld,
je een waarschuwing krijgt vanwege de "rewrite" regel aanpassingen.
Gaat webschild https scannen minder dan?

luntrus

Dat klopt van dat slotje. Ik gebruik geen Macintosh maar ik weet wel dat Safari in de signalering van de betrouwbaarheid van een website het meest consequent is. Feitelijk is dat prima, want juist de 'veranderitis' veroorzaakt een boel ruis!
Maar dat slotje: daar draait dus wel een deel van de discussie over 'secure/insecure om.
Dat slotje kan zeggen "Het is hier OK", maar dat hoeft niet persé zo te zijn.

Betaalvereninging Nederland heeft dat ook als een kenbaar gemaakt:

https://www.veiligbankieren.nl/nieuws/alleen-groen-slotje-is-geen-garantie-voor-veilige-website/

Oeps, sorry, verkeerd gelezen: ik dacht dat Google alleen nog maar het hoofddomein wilde laten zien (in het eerste door mij genoemde plaatje zou dat dan windows.net zijn).

De warmte kan het niet zijn, koffie of slaapgebrek wellicht - nogmaals sorry!

Het is verschrikkelijk om te zien dat elke browsermaker nu zijn eigen voorkeur er op nahoud:

* Chrome - Slotje of EV-naam cert + geen https://www. + domein
* Safari - Slotje (alleen groen voor EV) + geen https:// + www. + domein
* Edge - Compleet
* Firefox. - Compleet (waarbij domein duidelijker leesbaar is dan de rest)
* IE - rommel op zichzelf ;)

Mijn persoonlijke voorkeur ligt nog steeds bij hoe firefox het doet.
Safari doet het het slechts: banken sites zijn niet meer te onderscheiden van phishing sites, alleen op domein (maar ja, bank.nI leest iedereen toch hetzelfde als bank.nl).

Dus weer en leverancier die meent voor mij te moeten nadenken.

Ohnee, Chrome was al een tijdje geleden afgeschoten.

En wat is daar mis mee? Als de browsers helemaal niet voor jou zouden nadenken, kreeg je de data nog altijd als hexcode voorgeschoteld. De rest mag je dan zelf doen.

Maar zonder gekheid: Als een browser vergissingen kan voorkomen, moeten ze dingen ook implementeren. En dan moet je vooral naar de domme mensen kijken, want de slimmen komen er altijd wel uit.

Waardeloze setting. gelukkig ongedaan te maken met:
chrome://flags/#omnibox-ui-hide-steady-state-url-trivial-subdomains

Google verbergt... Wat verbergt Google allemaal nog meer, dat wij eigenlijk wel eens zouden willen weten,
maar nooit hebben kunnen vragen en nooit een antwoord op zullen krijgen als het aan hen ligt?

Ik zou wel eens transparant willen zien wat er onder de motorkap van die browser gebeurt met mijn data.
En niet lappen Wireshark data logs hoeven te analyseren voor een "hunch".

Wie mijn data verder jast over het net, Akamai bijvoorbeeld en andere Cloud-jongens.
Ook allemaal niet zo transparant overigens.

Wie er allemaal in de tussentijd aan verdienen? Op welk bureaublad ze belanden en ook via "verwonder-data"
als je in een achterstandswijk woont. Waar je afluistergegevens allemaal belanden?

Is er dan veel verschil tussen een http adres waar ik zelf via Intellitamper kan zien wat er zoal op de server staat,
of de https gegevens, die alle kanten opgaan, maar waar sommigen ook onversleuteld
of slechts voor anderen versleuteld toegang toe hebben.

Wie maakt dat is eens helder in deze surveillance maatschappij en wie roept Google etcetera daarover eens tot de orde.
Het blijft voorlopig oorverdovend stil.

Jodocus Oyevaer

"De browser liet in het geval van www.example.com en m.example.com alleen nog maar example.com zien"

Dus ik zie niet waarom: "m.example.com" wel "example.com" wordt, maar phishing.security.nl ineens phishing.security.nl blijft.