image

Google vervangt slot-icoon voor HTTPS-sites in Chrome door "tune" icoon

woensdag 3 mei 2023, 09:21 door Redactie, 13 reacties
Laatst bijgewerkt: 03-05-2023, 10:37

Google gaat het slot-icoon dat in Chrome wordt gebruikt bij HTTPS-websites vervangen door een "tune" icoon, om zo aan te geven dat websites met een versleutelde verbinding niet standaard zijn te vertrouwen. Dat heeft techbedrijf aangekondigd. Het slot-icoon wordt al jaren gebruikt om gebruikers te laten zien dat verkeer van en naar de website versleuteld is. Het zegt echter niet of een website betrouwbaar of veilig is.

Al jaren geleden voerde Google onderzoek uit waaruit bleek dat veel eindgebruikers niet begrepen waar het slot-icoon voor staat. Daarop werd in 2016 een nieuw icoon geïntroduceerd. Dat bleek echter niet te helpen, want onderzoek uit 2021 toonde aan dat slechts elf procent van de deelnemers wist wat het slot-icoon inhoudt. Dit misverstand is niet zonder gevolgen, aldus Google, omdat bijna alle phishingsites van HTTPS gebruikmaken en zodoende ook een slot-icoon in de adresbalk weergeven.

Inmiddels geven tal van organisaties ook het advies dat een slot-icoon niets zegt over de veiligheid of betrouwbaarheid van de website in kwestie. Daarom zal later dit jaar in Chrome een nieuw "tune" icoon worden gebruikt. Deze neutrale indicator moet aangeven dat security de standaard staat is en websites met dit icoon niet standaard zijn te vertrouwen. Google gaat het nieuwe icoon begin september met de release van Chrome 117 doorvoeren.

Op hetzelfde moment zal het slot-icoon ook in Android worden vervangen. Op iOS is het slot-icoon niet "tappable" en zal daar volledig worden verwijderd. Google zal op alle platforms blijven aangeven dat HTTP-sites onveilig zijn. In Chrome Canary, een vroege testversie van de browser, is het al mogelijk voor gebruikers om het slot-icoon zelf in te schakelen via de flag chrome://flags#chrome-refresh-2023.

Reacties (13)
03-05-2023, 10:05 door Anoniem
Eindelijk.
Hoeven we ook niet meer uit te leggen dat dat slotje niet betekent dat het veilig is.

Eigenlijk zou je geen domeinnamen meer willen tonen voor je veel gebruikte websites.
Op het moment dat jij op je favoriete website zit, zou je op een knopje moeten kunnen klikken waardoor het domein word vervangen door een zelf opgegeven website naam.

Dan veranderd in de adresbalk dit:
https://www.security.nl/posting/795069/Google+vervangt+slot-icoon+voor+HTTPS-sites+in+Chrome
Naar dit:
Mijn Security website / Google vervangt slot-icoon voor HTTPS-sites in Chrome door "tune" icoon
Op die manier zie je meteen dat je op je bekende juiste site zit, en niet op een phishing website bijvoorbeeld.
Want een phishing website zal niet je eigen gegeven naam tonen.
Stuk veiliger voor de leek.


Verschil tussen goede site en phishing word dan dit:
Mijn Security website / Google vervangt slot-icoon voor HTTPS-sites in Chrome door "tune" icoon
https://www.securlty.nl/posting/795069/Google+vervangt+slot-icoon+voor+HTTPS-sites+in+Chrome

Of is dat een idioot idee?
(Er van uitgaande dat URL's zelf niet verdwijnt. Als je op de adresbalk klikt, komt de originele URL weer naar boven.)
03-05-2023, 11:22 door Anoniem
Ik denk niet dat ze het probleem dat mensen niet snappen hoe ze het moeten beoordelen hiermee gaan oplossen. Het probleem is namelijk dat die mensen iets fundamenteels niet snappen, namelijk dat het betrouwbaar maken van een verbinding naar een ander nog niet betekent dat die ander zelf daardoor betrouwbaar wordt.

In het verleden probeerden voorlichters van de software-industrie en daarbuiten dat op te lossen door het zo simpel te presenteren dat iedere halve zool het kan bevatten, maar hebben daarbij de blunder gemaakt om het simpeler te presenteren dan het werkelijk is, waardoor wat mensen gingen bevatten een onwaarheid is. "Slotje is veilig" is nooit waar geweest, en door dat te verkondigen hebben ze alleen maar bereikt dat de verwarring onnodig vergroot werd toen ze, ingehaald door de realiteit, weer van die boodschap afstapten.

Met een slotje als symbool dat aangeeft dat de verbinding versleuteld is is op zich niets mis. Men had in plaats van te verdoezelen wat er aan de hand is juist moeten benadrukken dat het om de verbinding gaat.

Dat verdoezelen is in mijn ogen sowieso een kwaal van de software-industrie die meer kwaad doet dan goed. Men is al tientallen jaren bezig om alles wat te moeilijk blijkt te zijn voor een deel van de gebruikers niet te verduidelijken maar onzichtbaar te maken. Een hedendaags voorbeeld daarvan is hoe smartphones volledig onzichtbaar maken voor hun gebruikers dat er een hiërarchisch filesysteem onder zit met directory's en bestanden. Een consequentie van dat onzichtbaar maken, afgaande op berichten die ik nu al enkele jaren met enige regelmaat langs zie komen, is dat universiteiten geconfronteerd worden met studenten die geen benul hebben van hoe ze data op de computers waarmee ze voor hun studie moeten werken georganiseerd kunnen opslaan. Ze hebben niet alleen geen benul van hoe je structuur in de opslag van bestanden kan aanbrengen, ze hebben geen benul van het begrip "bestand", voor hun "is" data gewoon, het is aanwezig in een app en met wat scrollen en swipen kom je er wel bij. Dat het ergens wordt opgeslagen en wat dat inhoudt is iets waar ze op een smartphone niet mee in aanraking zijn gekomen, en dat weten velen dus niet.

Mensen zijn best in staat om dat soort dingen te begrijpen. Dat een aangetekende brief van een boef nog steeds van een boef komt, al is hij betrouwbaar verstuurd, valt uit te leggen. Maar je kan in die uitleg niet overslaan dát er iets van de ene plek naar de andere gaat, of dat nou een brief is of netwerkverkeer. Mensen kunnen ook best hiërarchische, geneste opslagstructuren begrijpen. Elk huishouden heeft dat volop in de vorm van kasten met meerdere deuren, planken en/of en laden, waarin weer nadere onderverdelingen kunnen zitten met hulp van dingen als dozen en bestekbakken. Het probleem is niet dat mensen dat niet kunnen begrijpen, het probleem is dat het in veel te abstracte termen uitgelegd wordt, en als dat niet lukt is de stuip waarin men consequent schiet om het dan niet duidelijker en concreter te maken maar om het maar helemaal over te slaan en zoveel mogelijk onzichtbaar te maken.

Zo kweek je digibeten.

Zolang dat de benadering is zal het vervangen van het ene icoontje door het andere dweilen met de kraan open blijken te zijn, vrees ik.
03-05-2023, 11:54 door Anoniem
Je kan het ook omdraaien. Als een domein met daarop een website geen encryptie heeft, betekent dat alleen maar dat de eigenaar van de site te lui was om een Let's Encrypt certificaat aan te vragen (dat had de website eigenaar makkelijk kunnen doen immers). Dus een rode waarschuwing van Chrome is hetzelfde als een website met een Let's Encrypt certificaat.

Dus de rode melding bij HTTP kan je ook wel weglaten want voegt niets toe.
Dus HTTP == HTTPS en een EV certificaat is een Let's Encrypt certificaat (qua gegarandeerde veiligheid voor de bezoeker).
03-05-2023, 12:15 door Anoniem
Door Anoniem: Je kan het ook omdraaien. Als een domein met daarop een website geen encryptie heeft, betekent dat alleen maar dat de eigenaar van de site te lui was om een Let's Encrypt certificaat aan te vragen (dat had de website eigenaar makkelijk kunnen doen immers). Dus een rode waarschuwing van Chrome is hetzelfde als een website met een Let's Encrypt certificaat.

Dus de rode melding bij HTTP kan je ook wel weglaten want voegt niets toe.
Dus HTTP == HTTPS en een EV certificaat is een Let's Encrypt certificaat (qua gegarandeerde veiligheid voor de bezoeker).
Nee.
Want als https het niet doet, gaat de browser over op http. (zonder hsts dan)
En dan kan iedere hacker gewoon 443 blokkeren en al het verkeer sniffen.

Ja, de site eigenaar heeft misschien wel niet (goed) geconfigureerd, maar jij bent daar dan de dupe van.
Dat de hacker dan van allerlei leuke dingen doet met jouw account is toch echt niet grappig.
03-05-2023, 12:20 door Briolet
Dat mensen niet weten waarvoor zo'n slot icoon staat, komt ook door de slechte voorlichting op dit gebied. Volgens mij wordt al 20 jaar bij de mensen ingeprent dat het slotje betekend dat de site veilig is. Er werd nooit bij verteld dat je juist het certificaat zelf moet bekijken.
03-05-2023, 12:32 door Anoniem
Door Briolet: Dat mensen niet weten waarvoor zo'n slot icoon staat, komt ook door de slechte voorlichting op dit gebied. Volgens mij wordt al 20 jaar bij de mensen ingeprent dat het slotje betekend dat de site veilig is. Er werd nooit bij verteld dat je juist het certificaat zelf moet bekijken.
Is niet te doen.
Het kost me 4 klikken om het certificaat te zien. (Firefox)
Dat moet je dan voor elke website die je bezoekt doen?
En de gemiddelde gebruiker heeft hier 0% verstand van, laat staan enige kennis van certificate chains...

Er mist überhaupt enige scholing of support op IT gebied.
Ja, wel op school, maar daar gaan mijn ouders echt niet meer naar toe hoor.

Net zoals met drugs etc, er word wel wat "les" gegeven op school, maar echte educatie is er niet.
Ze moeten het concreet maken.
Laat zien hoe makkelijk het is om per ongeluk op http://securlty.nl te zitten, of hoe jouw kleine drugsaankoop zorgt voor die Rotterdamse explosies en liquidaties bijvoorbeeld.
Daar leren mensen van. En niet van die stoffige lessen op school waarbij iedereen slaapt.
03-05-2023, 12:36 door Anoniem
Door Anoniem: Eindelijk.
......

Verschil tussen goede site en phishing word dan dit:
Mijn Security website / Google vervangt slot-icoon voor HTTPS-sites in Chrome door "tune" icoon
https://www.securlty.nl/posting/795069/Google+vervangt+slot-icoon+voor+HTTPS-sites+in+Chrome

Of is dat een idioot idee?
(Er van uitgaande dat URL's zelf niet verdwijnt. Als je op de adresbalk klikt, komt de originele URL weer naar boven.)
Iew, klinkt als werk verschaffing, leuk voor die ene website waar je de moeite voor hebt genomen.

Daarbij gebruik ik de volledige url van een website/pagina om minder last te hebben functionele gebreken of misbaksels van een website(al het maar om een handvol page-loads/tijd te besparen omdat de knop navigatie bijv. ontoereikend is)
Navigeren doe ik dus regelmatige d.m.v wijzigen url, en daarbij wil ik de blote url kunnen zien alvorens ik overweeg actie te ondernemen)
03-05-2023, 12:54 door Anoniem
Door Anoniem: <snip>
Iew, klinkt als werk verschaffing, leuk voor die ene website waar je de moeite voor hebt genomen.

Daarbij gebruik ik de volledige url van een website/pagina om minder last te hebben functionele gebreken of misbaksels van een website(al het maar om een handvol page-loads/tijd te besparen omdat de knop navigatie bijv. ontoereikend is)
Navigeren doe ik dus regelmatige d.m.v wijzigen url, en daarbij wil ik de blote url kunnen zien alvorens ik overweeg actie te ondernemen)

Is het ook nog werkverschaffing als het direct als bookmark dient?
(Dus eigenlijk is het dan een bookmark van de hele website, niet een specifieke pagina.)

Dat jij een power-user bent die met URLs overweg kan, is een ander verhaal.
Als dit een toggle is, dan ben jij ook wel power-user genoeg om die instelling uit te togglen tijdens configuratie.
Desnoods maak je zo dat als je control indrukt de URL getoond word.
(Net zoals alt de standaard instellingen balk laat zien in Firefox)

Ik wil ook absoluut niet dat URL's afgeschaft worden ofzo.
Maar als een simple UX aanpassing ervoor zorgt dat 99% van de gebruikers geen last meer hebben van phishing aanvallen, lijkt mij dat ten minste iets om te overwegen.
03-05-2023, 13:18 door Anoniem
Je zult het dus zelf moeten controleren.
Zeker als je voor de eerste keer ergens met je browser belandt.

Script-, ad-, tracking en blacklist-blokkeringen helpen wel.

Dom naar alles klikken wat beweegt zeker niet.

#webproxy
03-05-2023, 13:26 door Anoniem
Door Anoniem: Eindelijk.
[…]
Eigenlijk zou je geen domeinnamen meer willen tonen voor je veel gebruikte websites.
Op het moment dat jij op je favoriete website zit, zou je op een knopje moeten kunnen klikken […]

Wel eens gehoord van het knopje “Favorieten”?


Of is dat een idioot idee?

Ja, volslagen idioot. Nog idioter dan het weglaten van het gebruikte protocol (http://, https://, ftp:// enz.)
03-05-2023, 13:49 door Anoniem
Door Anoniem:
Door Anoniem: Eindelijk.
[…]
Eigenlijk zou je geen domeinnamen meer willen tonen voor je veel gebruikte websites.
Op het moment dat jij op je favoriete website zit, zou je op een knopje moeten kunnen klikken […]
Wel eens gehoord van het knopje “Favorieten”?

Of is dat een idioot idee?
Ja, volslagen idioot. Nog idioter dan het weglaten van het gebruikte protocol (http://, https://, ftp:// enz.)
Zie hier, een idioot in zijn natuurlijke habitat...
Hij kraakt vol vreugde een idee dat iemand geopperd heeft af zonder ook enige constructieve onderbouwingen te geven.
Hij moet ook wel, anders verliest hij zijn territorium aan de machtige logica mensen.
Laten we zien hoe hij zich probeert te verdedigen tegen deze machtige tegenaanval vanuit retoriek en logica.
:-)
03-05-2023, 14:23 door Anoniem
Door Anoniem:
Door Anoniem: <knip> Dus HTTP == HTTPS <knip>
Nee.
Want als https het niet doet, gaat de browser over op http. (zonder hsts dan)
En dan kan iedere hacker gewoon 443 blokkeren en al het verkeer sniffen.

Ja, de site eigenaar heeft misschien wel niet (goed) geconfigureerd, maar jij bent daar dan de dupe van.
Dat de hacker dan van allerlei leuke dingen doet met jouw account is toch echt niet grappig.

Ik heb er wel les in gehad, lang geleden. Hoe het internet in elkaar zit en zo, maar ik kom niet veel verder als een openbare WiFi die deze aanval zou kunnen doen. Hoe iemand tussen mijn VDSL aansluiting en bijvoorbeeld de belastingdienst kan gaan zitten, en dan ook nog dingen kan wijzigen, dat zie ik niet.

Ik kom uit een tijd dat SSL er nog niet was. En dat werd toen nooit als een probleem gezien.

Ik bedoel, we zijn toch bezig met het versimpelen voor de gebruiker. Alles is in principe onveilig als je het op het internet doet. 4096 bit RSA en 256 bit SHA eroverheen verandert dat niet veel en introduceert kwetsbaarheden in de SSL code zelf.

De eigenaar van de website met state of the art let's encrypt certificaten, kan ook een crimineel zijn immers. "You can put lipstick on a pig, but it is still a pig".

Anoniem 11:54
03-05-2023, 16:45 door Anoniem
Waarom is destijds eigenlijk de "groene adresbalk" waarin de naam van de organisatie direct zichtbaar was, afgeschaft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.