image

HTTPS Everywhere viert tien jaar laden van websites via https

woensdag 11 november 2020, 17:34 door Redactie, 5 reacties

Het is tien jaar geleden dat de Amerikaanse burgerrechtenbeweging EFF de browserextensie HTTPS Everywhere lanceerde. Sindsdien is er het nodige op het web veranderd, waaronder de opmars van https. De EFF hoopt dat de komende tien jaar ook de laatste jaren van de extensie zullen zijn.

HTTPS Everywhere laadt websites die https ondersteunen standaard over https, ook al tikt de gebruiker in de adresbalk http of opent een link die met http begint. Dit moet man-in-the-middle-aanvallen voorkomen en de privacy van gebruikers beschermen. Om te kijken of websites https ondersteunen maakt HTTPS Everywhere gebruik van lijsten. Periodiek worden deze lijsten door de extensie bijgewerkt. Wanneer een website geen https biedt wordt die gewoon via http geladen.

Inmiddels is HTTPS Everywhere een standaardonderdeel van de Brave-browser en Tor Browser geworden. De Chrome-versie van de extensie telt meer dan twee miljoen gebruikers, terwijl 733.000 Firefox-gebruikers de extensie hebben geïnstalleerd. Toch hoopt dat de EFF dat de komende tien jaar ook de laatste jaren van de extensie zijn.

"Dit project is opgezet om privacy en security niet alleen toegankelijk maar ook bereikbaar voor iedereen te maken", zegt Alexis Hancock van de EFF. "Anonimiteit en privacy op het web zouden niet moeten zijn voorbehouden aan personen met zeer technische kennis. Hopelijk zal bij een volgende update over tien jaar HTTPS Everywhere zijn uitgefaseerd omdat de bescherming die het biedt een standaardonderdeel van 'het net' is geworden."

Reacties (5)
11-11-2020, 17:51 door Anoniem
Vreemd dat de EFF nergens HTTP Strict Transport Security (HSTS) noemt. Dat is ook al bijna 10 jaar oud, kan de HTTPS Everywhere extensie vrijwel volledig vervangen en wordt al gebruikt door alle grote webbrowsers.

Overigens zullen beide, zowel HTTPS Everywhere als HSTS, op termijn (1-2 jaar) ook niet meer nodig zijn. In Firefox kan je al HTTPS-only browsen en met de komst van HTTPSSVC DNS records zal de toegevoegde waarde van HSTS preloading ook afnemen.
11-11-2020, 18:05 door Anoniem
Door Anoniem: Vreemd dat de EFF nergens HTTP Strict Transport Security (HSTS) noemt. Dat is ook al bijna 10 jaar oud, kan de HTTPS Everywhere extensie vrijwel volledig vervangen en wordt al gebruikt door alle grote webbrowsers.

Overigens zullen beide, zowel HTTPS Everywhere als HSTS, op termijn (1-2 jaar) ook niet meer nodig zijn. In Firefox kan je al HTTPS-only browsen en met de komst van HTTPSSVC DNS records zal de toegevoegde waarde van HSTS preloading ook afnemen.


Hsts is trust on first use zonder preloading, https everywhere zorgt ervoor dat iedere site met bekende https functionalteit nooit zonder https geladen word. Dus het is nog zeker van toegevoegde waarde zolang http word toegelaten in browsers
11-11-2020, 23:43 door Anoniem
Door Anoniem: Vreemd dat de EFF nergens HTTP Strict Transport Security (HSTS) noemt.

Waarom zouden ze een zoekfunctie op hun site hebben...? ;-)

https://www.eff.org/search/site/HSTS
12-11-2020, 06:30 door Anoniem
Hoogste tijd om http nu globaal te willen uitfaseren, zodat https naar http downgrade aanvallen substantieel zullen afnemen.

Maar ja, de `behoefte aan meekijken´ blijkt voor vele landen een struikelblok evenals volledige e2e encryptie bescherming voor de eindgebruiker-staatsburger. Bij doorgezette beveiliging van verbinding is weer alles zo dubbel en `meten met twee maten´.

Kijk nu naar CSP. Waar is het wel correct en volgens `best policies´ geconfigureerd.
Protocollen zijn zo veilig als ze ingesteld blijken te zijn.

luntrus
13-11-2020, 15:47 door Anoniem
Door Anoniem: Vreemd dat de EFF nergens HTTP Strict Transport Security (HSTS) noemt. Dat is ook al bijna 10 jaar oud, kan de HTTPS Everywhere extensie vrijwel volledig vervangen en wordt al gebruikt door alle grote webbrowsers.

Overigens zullen beide, zowel HTTPS Everywhere als HSTS, op termijn (1-2 jaar) ook niet meer nodig zijn. In Firefox kan je al HTTPS-only browsen en met de komst van HTTPSSVC DNS records zal de toegevoegde waarde van HSTS preloading ook afnemen.
Leuk maar de EFF en overig roept al jaren dat HSTS en HSTS Preloading belangrijk is. Echter is HTTPSEverywhere simpelweg een browser add on die je HTTPS laat forceren (clientside). Maar je kan hem ook uit zetten tijdelijk als je verbinding maakt met een HTTP website. Je moet het meer zien als een "security laagje/add-on" ipv een complete oplossing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.