image

Google Chrome 90 maakt https standaard protocol voor adresbalk

donderdag 15 april 2021, 09:52 door Redactie, 8 reacties

Google heeft Chrome 90 gelanceerd waarmee https voortaan het standaard protocol in de adresbalk is. Daarnaast zijn er 37 kwetsbaarheden in de browser verholpen. Wanneer gebruikers een url in de adresbalk invoerden, zonder http of https op te geven, maakte Chrome eerst altijd via http verbinding. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden.

Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom besloot Google om met de lancering van Chrome 90 https standaard in de adresbalk te gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", liet Google eerder over de aanpassing weten.

Tevens zijn er 37 kwetsbaarheden met de nieuwste Chrome-versie verholpen, waarvan de impact als "high" is beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist.

Een kwetsbaarheid in de permissies van Chrome, waardoor een aanvaller code binnen de browser kan uitvoeren, leverde onderzoekers Gengming Liu en Jianyu Chen van Tencent Keen Security Lab een beloning van 20.000 dollar op. De overige beveiligingslekken die onderzoekers bij Google rapporteerden en nu zijn verholpen waren goed voor beloningen van tussen de 500 en 10.000 dollar. Chrome 90.0.4430.72 is beschikbaar voor Linux, macOS en Windows. De update naar de nieuwste versie zal op de meeste systemen automatisch worden geïnstalleerd.

Reacties (8)
15-04-2021, 10:07 door _R0N_
"37 kwetsbaarheden" ooit was Chrome de veiligste browser
15-04-2021, 10:19 door Anoniem
Door _R0N_: "37 kwetsbaarheden" ooit was Chrome de veiligste browser
Maak dan zelf een betere browser! Zeiken is makkelijker!
15-04-2021, 11:22 door Nova
Soms verlang ik terug naar netscape navigator..... goeie oude tijd....
15-04-2021, 11:26 door Anoniem
Door _R0N_: "37 kwetsbaarheden" ooit was Chrome de veiligste browser

Maar ik kan me niet voorstellen dat er security en privacy bewuste mensen zijn die nog Chrome gebruiken.
https://www.security.nl/posting/698516/EFF+laat+Chrome-gebruikers+zien+of+ze+deelnemen+aan+FLoC-experiment
15-04-2021, 13:40 door Anoniem
Misschien ligt het aan mij, maar met de genoemde versie 90 zie ik nog steeds automatisch een http aanvraag. Of het netwerkpaneel liegt. Zien anderen dat ook?
15-04-2021, 14:27 door Anoniem
Door _R0N_: "37 kwetsbaarheden" ooit was Chrome de veiligste browser

En nu is het de - enige - browser (engine) met een marktaandeel.
15-04-2021, 15:08 door Anoniem
Even getest. Maar Chrome 90.0.4430.72 doet geen standaard https protocol wanneer er geen protocol is opgegeven.
Dit kan gereproduceerd worden wanneer een website zowel http als https ondersteund, en er niet een rewrite is geconfigureerd.
15-04-2021, 18:06 door Anoniem
Gelukkig ik ben niet de enige. :-)

Door Anoniem: Even getest. Maar Chrome 90.0.4430.72 doet geen standaard https protocol wanneer er geen protocol is opgegeven.
Dit kan gereproduceerd worden wanneer een website zowel http als https ondersteund, en er niet een rewrite is geconfigureerd.

Het is iets wat in de Chromium blog inderdaad wel beloofd was voor versie 90 desktop en Android. Maar ik denk dat er toch nog van afgezien is, of dat het per ongeluk niet is meegekomen.

https://blog.chromium.org/2021/03/a-safer-default-for-navigation-https.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.