Google gaat experimenteren met url-weergave in adresbalk Chrome
Google zal binnenkort gaan experimenteren met de weergave van url's in de adresbalk van Chrome. Gebruikers zullen dan niet meer de volledige url te zien krijgen. Op deze manier wil het techbedrijf onderzoeken of gebruikers eerder in staat zijn om malafide websites te herkennen.
Volgens Emily Stark van het Chrome Security Team zijn url's op dit moment de primaire manier voor internetgebruikers om de identiteit en authenticiteit van een website te bepalen. Er zijn echter tal van manieren voor een aanvaller om de url te manipuleren, waardoor gebruikers ten onrechte denken dat het om een legitieme website gaat, wat leidt tot phishing en scams, merkt Stark op.
Ze wijst naar een recent onderzoek waarbij meer dan zestig procent van de gebruikers werd misleid wanneer een misleidende merknaam in het url-pad stond vermeld. In Chrome 86 gaat Google daarom experimenteren met de weergave van url's. De testgroep zal niet meer de volledige url te zien krijgen. In plaats daarvan wordt alleen het domein weergegeven. Gebruikers hebben nog wel de optie om de volledige url te bekijken.
"Op deze manier willen we begrijpen, door middel van gebruik in de echte wereld, of het laten zien van url's op deze manier gebruikers helpt om te beseffen dat ze een malafide website bezoeken, en ze tegen phishing en social engineering-aanvallen te beschermen", aldus Stark. Het experiment zal niet worden uitgevoerd onder gebruikers van "enterprise-enrolled" computers. Chrome 86 staat gepland voor oktober.
Wat moeten we met een website met de volgende security alert hints?
Even een random voorbeeldje...
disown-opener 21 aanbevelingen om te komen tot een verbeterde security;
no-disallowed-headers 24 idem dito
sri 21 idem
strict-transport-security 70 idem dito
validate.set-cookie-header 2 idem dito
x-content-type options 52 idem dito
vulnerable javascript ;libraries idem 1 bibliotheek om af te voeren
ssllabs 2 aanbevelingen om te komen tot betere beveiliging.
Dit wordt dan gesteund via een scan op Mozilla Observatory. met F-graad en I-graad beveiligingsniveau.
Dus onder de maat die webstek en openstaand voor misbruik door malcreanten en ander cyber-gespuis.
Maar ja daar vul je via een core-business je zakken niet mee.
Dat wordt niet afgedwongen door de autoriteiten en is meestendeels sluitstuk op de begroting.
Zo ettert alles lekker door. Huilen met de pet op. Dweilen met alle kranen volop open.
En het gaat zo maar door en het gaat zo maar verder. Om echt simpel van te worden.
Als dit bovenstaande beter geregeld was,
zou men niet naar zulke kunstgrepen voor "onwetenden" hoeven te grijpen.
luntrus
Dan zou ik eerder plijten voor beide: eentje met het domein en eentje met het uri.
Of -met een klein beetje AI- een addressbar die 3x hoger wordt als het url verdacht is.
Wat moeten we met een website met de volgende security alert hints?
Even een random voorbeeldje...
[...]
Maar ja daar vul je via een core-business je zakken niet mee.
Dat wordt niet afgedwongen door de autoriteiten en is meestendeels sluitstuk op de begroting.
Zo ettert alles lekker door. Huilen met de pet op. Dweilen met alle kranen volop open.
En het gaat zo maar door en het gaat zo maar verder. Om echt simpel van te worden.
Als dit bovenstaande beter geregeld was,
zou men niet naar zulke kunstgrepen voor "onwetenden" hoeven te grijpen.
luntrus
dat de cybercrimineel er "zijn code niet langer achterlangs kan krijgen".
Dan is het probleem ook opgelost. Waarom de oplossingen neerleggen bij de eindgebruiker,
die er niet voor gestudeerd heeft?
Het op het groene slotje letten als oplossing gaf al zulkke problemen, toch?
Willen we doorgaan met fraude, ransomeware, niet legitieme tracking, allerlei soorten malware, bloatware,
scam, censuur, info manipulatie, ongevraagde reclame etc?
Ja, kennelijk, daar valt aan te verdienen met de gebruiker in de rol van eindproduct.
Aan het veiliger maken van verbindingen tussen webserver en veilige(r) websites kennelijk niet.
Als het probleem er niet meer is, hoef je er de eindgebruiker/consument niet meer mee lastig te vallen.
Daarom is het oproepen tot betere beveiliging toch wel gerelateerd naar mijn zeer bescheiden opinie.
luntrus
dat de cybercrimineel er "zijn code niet langer achterlangs kan krijgen".
die er niet voor gestudeerd heeft?
Het op het groene slotje letten als oplossing gaf al zulkke problemen, toch?
luntrus
We zijn niet allemaal 'normale' gebruikers.
Ze maken er maar een setting van bij chrome://settings, zodat degenen die wel de volledige URL willen zien, dit zelf kunnen inschakelen. Dan hoor je mij niet klagen.
Google geeft hiermee ruimte aan malafide websitebeheerders.
Niet voor niets raad ik iedere leek/beginner het gebruik van Chrome af. Dit is dus weer een goede reden erbij.
luntrus
Mee eens.. Direct bij de ingang aanpakken. Cyberbureau(overheid) opzetten die er met de stofkam doorheen gaat.
Als ik een frisdranken-bedrijfje wil opzetten met de naam KokaCola is er ook een commissie die zegt dat dat niet mag. Want lijkt wel erg veel op..........
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
