Firefox 91 gaat websites in Private Browsing standaard via https laden
De volgende versie van Firefox die vandaag verschijnt beschikt over een feature die ervoor zorgt dat websites in Private Browsing standaard via https worden geladen, zo heeft Mozilla bekendgemaakt. Wanneer de gebruiker op een link klinkt die met http begint probeert Firefox eerst een https-verbinding op te zetten. Ondersteunt de website in kwestie geen https dan valt Firefox terug op http.
Mozilla stelt dat HTTPS by Default, zoals de feature heet, niet geldt voor afbeeldingen, styles en scripts van de bezochte website. "Het zorgt er alleen voor dat de pagina zelf zo veilig mogelijk wordt geladen", aldus Mozillas Christoph Kerschbaumer. De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen.
En dan te denken dat er nog heel veel (ja ook Nederlandse) http-only-websites zijn.
Zelfs websites die meer dan 8 redirects gebruiken en helemaal in geen enkele browser meer open willen gaan.
Er is nog verschrikkelijk veel amateurisme op dit gebied.
Daar waar veiligheid steeds sluitpost op de begroting blijft, met alle gevolgen van dien.
Ja ook bij websites met de laatste SEO-snufjes en heel veel canvas fingerprinting.
Dan praten we maar helemaal niet over hoeveel websites er op omvallen staan
en hoe veel websites er simpelweg door hackers kunnen worden gecompromitteerd.
Moeten website developers eerst niet onderhand eens slagen voor een soort van "website license"
eer dat we hen loslaten op Interwebz?
Foutenjagers kunnen hun lol op (webhint report en https://awesometechstack.com/analysis/website/
etc. voor een zgn. quick & dirty) en daar hoef je niet eens een Cobalt Strike pentester voor te zijn.
Om moedeloos van te worden af en toe.
luntrus
De Firefox-ontwikkelaar verwacht dat HTTPS by Default de komende maanden ook buiten de Private Browsing-mode van Firefox beschikbaar zal komen.
Dat is handig omdat veel apparaten binnen je lan niet over een certificaat beschikken. Echter, ik benader mijn lokale apparaten via een domeinnaam die naar een lokaal IP resolved. Veel makkelijker te onthouden dan een IP, maar deze benadering van een lokaal apparaat wordt nu door Firefox bemoeilijkt doordat je nu elke keer een fout-pagina moet wegklikken.
Van beide browsers vind ik het vreemd dat ze code toevoegen om een uitzondering te maken voor locale ip's, maar niet kijken of een domein resolved naar zo'n IP.
luntrus
Ja, wat dan weer ruimte geeft aan andere nuttige extensies die de websecurity bevorderen.
Het klinkt wat melodramatisch maar het feit dat HTTPS Everywhere m.i.v. Firefox 91 deels obsolete (1) zal zijn is natuurlijk een wat treurige gebeurtenis voor de ontwikkelaar: EFF Technologists, maar zij mogen vast veronderstellen dat zij Mozilla mede ervan overtuigd hebben dat - letterlijk - everywhere https een bittere noodzaak is geworden als vaste ingebouwde feature i.t.t. zo'n 16 jaar geleden, dacht ik, met de komst van de eerste versies Firefox.
(1)
Toch een kanttekening:
Ik lees niet op de introductiepagina dat je een keuze kunt maken (pop up screen o.i.d.) al of niet de http pagina te laden indien Firefox constateert dat de bewuste site géén https ondersteunt. dat vind ik toch een manco. Of zie ik dit verkeerd?
Het klinkt wat melodramatisch maar het feit dat HTTPS Everywhere m.i.v. Firefox 91 deels obsolete (1) zal zijn is natuurlijk een wat treurige gebeurtenis voor de ontwikkelaar: EFF Technologists, [...]
https://www.eff.org/deeplinks/2020/11/10-years-https-everywhere
https://www.eff.org/deeplinks/2021/04/https-everywhere-now-uses-duckduckgos-smarter-encryption
(1)
Toch een kanttekening:
Ik lees niet op de introductiepagina dat je een keuze kunt maken (pop up screen o.i.d.) al of niet de http pagina te laden indien Firefox constateert dat de bewuste site géén https ondersteunt. dat vind ik toch een manco. Of zie ik dit verkeerd?
https://support.mozilla.org/en-US/kb/https-only-prefs#w_secure-connection-not-available
Klein minpuntje, dat ik ook bij Safari aantref. Beide browsers maken een uitzondering als je een lokaal IP intikt.
Dat is handig omdat veel apparaten binnen je lan niet over een certificaat beschikken. Echter, ik benader mijn lokale apparaten via een domeinnaam die naar een lokaal IP resolved. Veel makkelijker te onthouden dan een IP, maar deze benadering van een lokaal apparaat wordt nu door Firefox bemoeilijkt doordat je nu elke keer een fout-pagina moet wegklikken.
Van beide browsers vind ik het vreemd dat ze code toevoegen om een uitzondering te maken voor locale ip's, maar niet kijken of een domein resolved naar zo'n IP.
Ik hoop dat dat jouw probleem oplost.
Zie:
https://support.mozilla.org/en-US/kb/https-only-prefs#w_turn-off-https-only-mode-for-certain-sites
Dank, dat is inderdaad een eenvoudige en effectieve procedure.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
