image

Firefox 91 gaat websites in Private Browsing standaard via https laden

dinsdag 10 augustus 2021, 11:11 door Redactie, 8 reacties

De volgende versie van Firefox die vandaag verschijnt beschikt over een feature die ervoor zorgt dat websites in Private Browsing standaard via https worden geladen, zo heeft Mozilla bekendgemaakt. Wanneer de gebruiker op een link klinkt die met http begint probeert Firefox eerst een https-verbinding op te zetten. Ondersteunt de website in kwestie geen https dan valt Firefox terug op http.

Mozilla stelt dat HTTPS by Default, zoals de feature heet, niet geldt voor afbeeldingen, styles en scripts van de bezochte website. "Het zorgt er alleen voor dat de pagina zelf zo veilig mogelijk wordt geladen", aldus Mozillas Christoph Kerschbaumer. De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen.

Image

Reacties (8)
10-08-2021, 11:33 door Anoniem
Goede maatregel, kun je https everywhere als extensie weer uitschakelen binnen firefox.

En dan te denken dat er nog heel veel (ja ook Nederlandse) http-only-websites zijn.
Zelfs websites die meer dan 8 redirects gebruiken en helemaal in geen enkele browser meer open willen gaan.

Er is nog verschrikkelijk veel amateurisme op dit gebied.
Daar waar veiligheid steeds sluitpost op de begroting blijft, met alle gevolgen van dien.
Ja ook bij websites met de laatste SEO-snufjes en heel veel canvas fingerprinting.

Dan praten we maar helemaal niet over hoeveel websites er op omvallen staan
en hoe veel websites er simpelweg door hackers kunnen worden gecompromitteerd.

Moeten website developers eerst niet onderhand eens slagen voor een soort van "website license"
eer dat we hen loslaten op Interwebz?

Foutenjagers kunnen hun lol op (webhint report en https://awesometechstack.com/analysis/website/
etc. voor een zgn. quick & dirty) en daar hoef je niet eens een Cobalt Strike pentester voor te zijn.

Om moedeloos van te worden af en toe.

luntrus
10-08-2021, 12:35 door Spiff has left the building
Door Redactie, 11:11 uur:
De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen.
Uiteraard is HTTPS-Only Mode ook nu al via settings in te schakelen voor buiten de Private Browsing-mode.
11-08-2021, 09:29 door Briolet
Klein minpuntje, dat ik ook bij Safari aantref. Beide browsers maken een uitzondering als je een lokaal IP intikt.

Dat is handig omdat veel apparaten binnen je lan niet over een certificaat beschikken. Echter, ik benader mijn lokale apparaten via een domeinnaam die naar een lokaal IP resolved. Veel makkelijker te onthouden dan een IP, maar deze benadering van een lokaal apparaat wordt nu door Firefox bemoeilijkt doordat je nu elke keer een fout-pagina moet wegklikken.

Van beide browsers vind ik het vreemd dat ze code toevoegen om een uitzondering te maken voor locale ip's, maar niet kijken of een domein resolved naar zo'n IP.
11-08-2021, 09:47 door [Account Verwijderd]
Door Anoniem: Goede maatregel, kun je https everywhere als extensie weer uitschakelen binnen firefox.
luntrus

Ja, wat dan weer ruimte geeft aan andere nuttige extensies die de websecurity bevorderen.

Het klinkt wat melodramatisch maar het feit dat HTTPS Everywhere m.i.v. Firefox 91 deels obsolete (1) zal zijn is natuurlijk een wat treurige gebeurtenis voor de ontwikkelaar: EFF Technologists, maar zij mogen vast veronderstellen dat zij Mozilla mede ervan overtuigd hebben dat - letterlijk - everywhere https een bittere noodzaak is geworden als vaste ingebouwde feature i.t.t. zo'n 16 jaar geleden, dacht ik, met de komst van de eerste versies Firefox.

(1)
Toch een kanttekening:
Ik lees niet op de introductiepagina dat je een keuze kunt maken (pop up screen o.i.d.) al of niet de http pagina te laden indien Firefox constateert dat de bewuste site géén https ondersteunt. dat vind ik toch een manco. Of zie ik dit verkeerd?
11-08-2021, 11:48 door Spiff has left the building
Door Herme R, 09:47 uur:
Het klinkt wat melodramatisch maar het feit dat HTTPS Everywhere m.i.v. Firefox 91 deels obsolete (1) zal zijn is natuurlijk een wat treurige gebeurtenis voor de ontwikkelaar: EFF Technologists, [...]
Ik heb eerder begrepen dat ze juist tevreden zijn met die ontwikkeling. Zie deze berichten van november en april:
https://www.eff.org/deeplinks/2020/11/10-years-https-everywhere
https://www.eff.org/deeplinks/2021/04/https-everywhere-now-uses-duckduckgos-smarter-encryption

Door Herme R, 09:47 uur:
(1)
Toch een kanttekening:
Ik lees niet op de introductiepagina dat je een keuze kunt maken (pop up screen o.i.d.) al of niet de http pagina te laden indien Firefox constateert dat de bewuste site géén https ondersteunt. dat vind ik toch een manco. Of zie ik dit verkeerd?
Er wordt een "Secure Connection Not Available" pagina weergegeven, waarop je de keuze krijgt wel of niet naar de http-site te gaan. Zie:
https://support.mozilla.org/en-US/kb/https-only-prefs#w_secure-connection-not-available
11-08-2021, 11:59 door Spiff has left the building
Door Briolet, 09:29 uur:
Klein minpuntje, dat ik ook bij Safari aantref. Beide browsers maken een uitzondering als je een lokaal IP intikt.

Dat is handig omdat veel apparaten binnen je lan niet over een certificaat beschikken. Echter, ik benader mijn lokale apparaten via een domeinnaam die naar een lokaal IP resolved. Veel makkelijker te onthouden dan een IP, maar deze benadering van een lokaal apparaat wordt nu door Firefox bemoeilijkt doordat je nu elke keer een fout-pagina moet wegklikken.

Van beide browsers vind ik het vreemd dat ze code toevoegen om een uitzondering te maken voor locale ip's, maar niet kijken of een domein resolved naar zo'n IP.
In Firefox heb je de optie om HTTPS-Only Mode uit te schakelen voor sites waarvoor je dat wenst/ nodig hebt.
Ik hoop dat dat jouw probleem oplost.
Zie:
https://support.mozilla.org/en-US/kb/https-only-prefs#w_turn-off-https-only-mode-for-certain-sites
11-08-2021, 15:33 door Briolet
Door Spiff: In Firefox heb je de optie om HTTPS-Only Mode uit te schakelen voor sites waarvoor je dat wenst/ nodig hebt.

Dank, dat is inderdaad een eenvoudige en effectieve procedure.
11-08-2021, 16:02 door [Account Verwijderd]
@Spiff,

Hartelijk dank voor je toelichting en extra informatie die je postte om 11:46 uur!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.