L.S.

Ik vind dit feitelijk een grote "security through obscurity" operatie.
Toegang tot de content gebeurt daarna elders "uit het directe zicht".
Via Google tracking, fingerprinting etc. of in de cloud of bij de provider of loggende VPN.

Je kunt niet meer eenvoudig met Intellitamper bijvoorbeeld vaststellen,
wat er allemaal op een server staat, ergo "security through obscurity".

Er zijn echter nog andere https scanmogelijkheden, bijvoorbeeld via safe browsing van av vendors
en file viewers.

Vertrouwen we Google op de blauwe ogen met hun doorgevoerde https everywhere actie,
die nu dus verplicht wordt op een chrome browser of chrome-kloon (wat ze infeite allemaal zijn).
Het gaat immers nog slechts over de "veiliger" verbinding, niet over wat er achter die verbinding hangt.

J.O.

Je lost hier een compleet ander probleem mee op, namelijk dat er verkeer in de HTTP elementen geïnjecteerd kan worden via MITM, iets wat met HTTPS niet (direct) gaat. Je zou het artikel nog eens opnieuw moeten lezen.

Sjeemig, ondersteunde Chrome werkelijk nog mixed content? Op webpagina's met dergelijke mixed content kun je er dan niet vanuit gaan dat wat je ziet is aangeleverd door en/of:
1) de partij waarvan je de domeinnaam in de URL-balk van jouw browser ziet (met geauthenticeerde https verbinding);
2) derde partijen die worden vertrouwd door bovenstaande partij.

Opvallend dat notabene Google hier zo lang mee gewacht heeft, want in de U.S zijn er providers die via dit lek advertenties van anderen vervangen of advertenties toevoegen. Het zou me niet verbazen als in nog onaangenamere landen het niet bij advertenties blijft (denk aan fake news en malware (-popups)).

Hm, nee, zo zou ik het niet typeren. Als ik er zo snel even doorheen schiet dan is er zeker wel het een en ander aan te merken, bijvoorbeeld dat er nogal met "http slecht, https goed"-"logica" geredeneerd wordt en daar wordt dan de hele rest aan aflaten en offers omheen gebouwd.

Maar de kern van de zaak is heel simpel: Je browser tekent een groen slotje in de adresbalk want de inhoud is per https (en getekend met extraplus dubbelgoede "EV" certificaten, anders kreeg je plusmooi geelgoud, niet dubbelplusmooi groen) binnengekomen en als je dan gaat spitten blijkt dat delen van de inhoud stiekem toch per http binnengekomen zijn. Dat zijn achterdeurtjes waardoor inhoud van elders, zoals clickjacking javascript en weet ik het wat nog meer, door naarbinnen kan. Dat kan natuurlijk ook via https, maar via http heet het makkelijker te zijn. Dus die beveiliging door dat groene slotje kon aan alle kanten omzeild worden.

Oftewel, de browser zat je gewoon voor te liegen met z'n groene slotje! Het was helemaal niet veilig! En dat al jarenlang!

Dat wordt nu zo te zien rechtgezet. Het heeft dus niet zozeer met "beveiging nog beter" maken van doen maar "grote gaten in de beveiliging dichten". Dat geeft er toch net een ander smaakje aan. De rest van de maatregelen smaken zoals gezegd vooral naar "http slecht, https goed" ongeacht of dat waar is.

Betere manier is verplicht CSP op websites, samen met deze maatregel.
luntrus

Tracking, fingerprinting en logging zijn iets anders dan de toegang die je vanuit een webclient tot de content hebt. Je herkent tracking door Google niet omdat je kan zien wat er op de server gebeurt maar omdat je kan zien dat de client iets van Google ophaalt.
Ik ken dat programma niet, maar afgaande op wat ik er in de gauwigheid over vind doet het zijn eigen http/https-requests en wordt het dus op geen enkele manier beïnvloed door wat Chrome al dan niet doet. Als onder druk van Chrome er meer webcontent naar https overgezet wordt kan dat programma toch gewoon https-requests doen?

Google Chrome moet je gewoon niet meer gebruiken. Doorgeslagen in anti surfer onzin.

Geef de gebruiker svp meer macht. Laat die aangeven ik surf in onvertrouwde omgeving (netwerk of device onbekend of onversleuteld) en of ik werk in vertrouwde situatie, dat zou dan bv rechts boven aan kunnen worden aangegeven. En dat daarnaast een knop komt met ik vertrouw dezevwebsite en/of deze content, zodat je wel alles kunt doen wat je wil zonder dat google / chrone dat voor alle websites en alle survers gaat bepalen.

Een hobby website over koekjes zonder versleuteling kan toch leuk zijn en veilig zijn, het internet is niet alleen geheim, vertrouwlijk, slimme marketing crap met tracking van bezoekers. Er zijn ook neutrale ongeavanceerde informatieve sites en sites met insteek vermaak. Niet alles is gevaarlijk.

Over X jaar kan je dankzij google 90% van de oude neutrale, ongeavanceerde, hobby achtige informatieve websites niet meer vinden via google of via chrome en chrome achtige browsers. Adverteersers, danwel sneaky trackende stalk websutes die adverteren etc die hebben meer waarde voor google, google wil alleen maar meer macht en invloed.

We herinneren ons hopelijk nog het diginotar schandaal waar uit bleek dat ssl versleuteling grotendeels onzinnige schijnveiligheid is. Ik ben niet tegen ssl maar wel tegen de siggestie dat ssl sites wel veilig zijn en niet je data alsnog stelen, alleen maak je het andere meeluisterende partijen iets moeilijker om mee te luisteren.

Google zou zich moeten uitspreken tegen onverheids bespionage en tegen data verzameling van prive gegevens, tot die tijd is google zelf juist super onbetrouwbaar.

Even checken hier dus: https://www.jitbit.com/sslcheck/

Test wat voor website dan ook hier : https://nibbler.silktide.com/
en daarna hier: http://www.siteliner.com/

#sockpuppet

Waar moet de slag nu gemaakt worden? Bij de nog onveilige websites en dan ook tevens bij Google?

Wat Google betreft, die belijden met de mond, die slag te maken ter verbetering van de algemene veiligheid.

Oh, wat zijn ze toch goed bezig met HTTPS Everywhere, nu weer met dit voorstel, met Google Safebrowsing,
met het verwerven van Virus Total en het daarbij opnemen van "google content" natuurlijk.

Maar ondertussen staan hun eigen core-business interessen nog volop voorop
en buigen ze alles bij, als het zo het beter uitkomt.

Daarnaast steunen ze ook vrijwillig of gedwongen het global surveillance circus (USA, mainland China en ook EU).

Het is dus niet allemaal zo eenduidig zuiver,

Denk aan het door Google inzetten van AMP-pagina's, die komen dan hoger in de ranking.

Google maakt dus net als Facebook, CloudFlare en alle grote naar een monopolie strevende jongens,
flink misbruik van hun positie en ze worden daarbij nog eens flink de handen boven het hoofd gehouden
en uit de wind gehouden door "de wereldwijde controleurs" en dat zijn niet jij en ik, dat kan ik jullie wel verzekeren.

#sockpuppet

Dit wordt een leuk informatief draadje,zeg.

Dank voor de bijdragen, de discussie, de kritiek.
Ik zit te smullen.

We krijgen zo een beter beeld van de nog steeds zeer onveilige infrastructuur wat betreft website security.

Gaan de bemoeiienissen van grote spelers, als Google, hier ten goede een rol bij spelen,
of wordt daarbij een flink fragment van het vrije Internet "naar onderen en uit het zicht" gedrukt?

Hoe ver zitten website developers al in de tas bij Google, facebook, Cloudboys and the likes?

Ze zijn toch al opgeleid met alleen de marktbelangen in het vizier,
dat doet het onderwijsveld toch al jaren, schatplichtig zijn aan de groot-commercie,
zeker op MBO en toch ook op HBO-niveau?

Kunnen de grote spelers gaan censureren door frustreren?

Wat zijn de gevoelens van de reagerenden hier met jaren IT-ervaring?

luntrus

Lees hier, hoe het veld er tegenaan kijkt, m.n. aangaande SSL:
https://news.ycombinator.com/item?id=8146670

Daar wordt dus beweerd dat ook alle kleine blog sites met neutrale, ongeavanceerde txt content,
ook moet meedoen in deze slag. Daarom heb ik nog steeds een zoektooltje als Telescope
op de desktop staan met de hoop na een query nog wat te vinden valt, dat opent in de browser.
Linkrot etc. heeft toch al zijn tol geeist in de afgelopen tijd.
Info-vernietiging op grote schaal, omdat het de grote spelers minder uitkomt.

Veilig maken van websites, akkoord, maar niet ten koste van het "upranken" van Google-welgevallige content
via allerlei in feite manipulatieve user-gerichte technologie.
Daar werkt dus een groot gedeelte van de Google developers aan.
Ik wil liever een Internet zonder ad- en bloatware. U toch ook?

#sockpuppet

Waarbij "het veld" betekent "twee googlers en een stapeltje verdere webshits". (Ik lees wel eens n-gate, ja.)

De PR heeft dus wat steekjes laten vallen.

Dit is wel een puntje maar tegelijkertijd iets waar je mischien helemaal niet op dit punt in de keten op moet gaan staan. Namelijk, het uitgangspunt is "my network, my rules", dus als je als gratis-wifi-gebruiker wat extra advertenties geinjecteerd krijgt, had je daar niet voor getekend

Niet dat ik het daar automatisch mee eens ben. Zeker, wat zekere (Amerikaanse, maar ook Duitse, wellicht wel andere) ISPs/telcos doen is advertenties in de http-stroom vervangen door hun eigen advertenties, bij hun eigen betalende klanten. En eigenlijk vind ik dat helemaal niet kunnen.

Zeker niet omdat het internet als cooperatief is opgezet, "jij verscheept mijn pakketjes, ik verscheep de jouwe". Dus zeker toen de boel nog niet door AOL overspoeld geworden was met nonos was zulke ongein absoluut onbespreekbaar. Dat is nu dus anders en onder andere google zijn daar debet aan geweest, door zoveel mogelijk "oogballen" te hebben willen vernetwerken en dan advertenties voorschotelen. Dan krijg je vanzelf dat er bedrijven zeggen "nou dat kunnen dus ook onze advertenties zijn, zeg", zeker in de United States of "huckster culture" America.

Hoe dan ook, het is dus een soort loopgravenoorlog geworden. Probleem is alleen dat je dit niet echt zo kan oplossen, want:

En hoe bewijzen ze dat? De standaardoplossing is "met een PKI certificaat getekend door een van de rootCAs in de browser's rootCA lijst", waar zoveel gaten inzitten dat het niet meer grappig is. En zeker volstrekt ondoorzichtig voor de DAU[1], die dus maar gewoon klikte en hoopte dat dat groene slotje beschermde tegen alle mogelijke problemen.

En dan blijkt dat chrome "mixed content" stilletjes toeliet. Deze claim is dus [x] onwaar.

Niettegenstaande dat authenticatie soms wel erg handig is, maar tegelijkertijd moet je dan concluderen dat die eigenlijk niet werkelijk verkrijgbaar is. De zekerste methode is om persoonlijk langs te gaan en sleutel-"vingerafdrukken" te vergelijken. In plaats daarvan moet je maar een van de vele honderden bedrijven vertrouwen dat ze hun huiswerk goed gedaan hebben met het nakijken van degene die het certificaat van ze kocht.

"Wij van wc-eend..."

google is een adverteerdersbedrijf. De rest inclusief zoekmachine en emaildienst is "lokkertje".

Als ze hun output kunnen "personaliseren" worden de "oogballen" meer waard voor hun adverteerders, dus zullen ze het niet nalaten.

Een wereld waar er een handvol websites van wat wazige academici plus wat corporate "oh ja we moeten ook een website" vehikels rondzwerven, en waar alle squatters en andere hucksters (waaronder google) gewoon failliet zijn?

Een wereld zonder facebook, twitter, en al die andere tijdrovers waar de gebruikers het product zijn?

Laat het de datacentrum-uitbaters niet horen.

Net als alle browsers volgens mij, maar je krijgt dan ook geen groen slotje op zo'n pagina.

Als ik het goed begrijp, is de enige die in de toekomst nog over je schouder mee kan kijken.... Google?