image

Chrome introduceert nieuwe functies om http-verkeer te verminderen

donderdag 17 augustus 2023, 11:37 door Redactie, 12 reacties

Google Chrome krijgt meer functies om http-websites veiliger te bezoeken, waaronder het upgraden van http-verkeer naar https. Chrome-gebruikers krijgen ook een waarschuwingsmelding te zien voordat zij een bestand downloaden via een http-verbinding.

De maatregelen zijn volgens Google nodig omdat – ondanks eerdere inspanningen om https te stimuleren – nog steeds vijf tot tien procent van het webverkeer in Chrome blijft steken op http. Webverkeer via http is eenvoudiger te onderscheppen door kwaadwillenden. Google toont Chrome-gebruikers al tijden een waarschuwingsmelding als zij een http-webpagina bezoeken, maar erkent in een blogpost dat veel gebruikers de melding niet doorhebben en dat de melding niet voorkomt dat kwaadwillenden de webpagina aanpassen.

Om het verkeer via http verder te verminderen, gaat Google voortaan alle http://-navigaties upgraden naar https://. De techniek die Google hiervoor gebruikt, is vergelijkbaar met HSTS-upgrading. Volgens Google werkt de techniek in bijna alle situaties, alleen niet als https echt niet beschikbaar is. Google test de functie nu in Chrome 115 en verwacht de functie ‘binnenkort’ uit te rollen naar alle Chrome-gebruikers.

Chrome krijgt ook een expliciete waarschuwings-pop-up als de gebruiker een bestand via een http-verbinding wil downloaden. De pop-up raadt de gebruiker aan om het bestand weg te gooien, maar laat de gebruiker het onveilige bestand ook downloaden. Deze pop-up verschijnt naar Google’s verwachting vanaf medio september in Chrome.

Google breidt ook zijn HTTPS-First Mode-beveiligingsmaatregelen uit. In deze modus vraagt Chrome de gebruiker om expliciete toestemming voor het tonen van een http-webpagina. De modus is nu ook beschikbaar voor gebruikers in Google’s Advanced Protection Program die ingelogd zijn in Chrome. Volgens Google was dit een wens van gebruikers. De modus wordt binnenkort ook standaard geactiveerd in de incognitofunctie van Chrome. Google experimenteert ook met het automatisch inschakelen van de modus voor websites waarvan Chrome weet dat de gebruiker die normaliter bezoekt via https, en met het automatisch inschakelen van de modus voor gebruikers die vrijwel nooit http-webpagina’s bezoeken.

Chrome-gebruikers die de https-upgrading al voor de brede uitrol willen testen, kunnen dat vanaf vandaag doen via chrome://flags. Daar zijn HTTPS Upgrades en Insecure download warnings te activeren. De HTTPS-First Mode is te activeren via de beveiligingsinstellingen van Chrome.

Reacties (12)
17-08-2023, 12:24 door Anoniem
ik vind het nog steeds absurd dat browsers wel ZEIKEN over certificaten die door https gebruikt worden naar mijn routers, firewalls, UPSen, PDU's en switches, maar niet default de HTTPS site pakken als die er wel is.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?

"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....

Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
17-08-2023, 12:24 door Anoniem
Valt dit onder experiments?
17-08-2023, 13:22 door Anoniem
Door Anoniem: ik vind het nog steeds absurd dat browsers wel ZEIKEN over certificaten die door https gebruikt worden naar mijn routers, firewalls, UPSen, PDU's en switches, maar niet default de HTTPS site pakken als die er wel is.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?

"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....

Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
Het helpt als je je randapparatuur van goede certigicaten voorziet.
Het is bepaald geen rocket science....
17-08-2023, 15:05 door Anoniem
Het helpt als je je randapparatuur van goede certigicaten voorziet.
Het is bepaald geen rocket science....

Waarom zou ik overal certificaten op willen plakken? De meeste systemen kunnen niet eens naar buiten, dus kunnen niet een een CRL check doen.. Het is dan onzin om daar 'echte' certificaten voor aan te vragen, bovendien kunnen ze niet geupdatet worden... En ik zie nog minder valide redenen om NAS, UPS, switches en PDU's aan internet te gaan hangen voor de veiligheid, sorry, dan ga ik nog liever terug naar Netscape.

certificaten gaan er vanuit dat alles in internet hangt, bij mij hangen alleen 3 firewalls aan internet, voor de rest niets (ja, een zooi clients via wifi op een apart VLAN op de aparte switch, in een separaat VRF op de router, op een aparte VDOM in de firewall.
17-08-2023, 15:51 door Anoniem
Door Anoniem:
Door Anoniem: ik vind het nog steeds absurd dat browsers wel ZEIKEN over certificaten die door https gebruikt worden naar mijn routers, firewalls, UPSen, PDU's en switches, maar niet default de HTTPS site pakken als die er wel is.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?

"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....

Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
Het helpt als je je randapparatuur van goede certigicaten voorziet.
Het is bepaald geen rocket science....
Natuurlijk, geen rocket science, maar het is aan mij die bepaalt of ik een certificaat ja dan nee wil gebruiken.

Is er nog iemand die in de gaten heeft hoe je onnodig met werk wordt opgezadeld?

Het is volstrekt onnodig en onzinnig om in je privé omgeving gebruik te moeten maken van certificaten. Het is nu net zoiets als dat je iedere deur in je huis van een slot gaat voorzien omdat het veiliger is.

Die browsers ontwikkelaars moeten eens wat minder op mijn stoel gaan zitten. Ik bepaal zelfs wel of ik een certificaat nodig heb.

Zoals het er nu naar uitziet duurt het niet lang meer dat ik verplicht wordt om op ieder device een echt certificaat te installeren omdat de browser leverancier het mij afdwingt.
17-08-2023, 22:30 door Anoniem
Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.

Die man die dat moerasland verkocht was Rienk Kamer. Ken ik nog uit de kroeg. Die zei ooit iets als dat pas mag meepraten als je op één dag een miljoen hebt verloren en toch gewoon doorgaat.

Ik mag meepraten.

KPN heeft het ooit geprobeerd met Het Net. Microsoft trouwens ook. Proberen de baas te spelen van het internet. Google probeert het. Maar Meta ook. Zie ik ineens een popup dat "mijn internet verbinding is hersteld". Alsof zij de baas van het hele zooitje zijn. Dat zijn ze net zo min als hun ambitieuze voorgangers.

Wat ik al jaren irritant vind is dat al die browsers, als een site geen https is, of gewoon een certificaat verlopen is, gaan gillen alsof je de grens met Noord Korea wil oversteken.

Gevaarlijk, gezielig en eng. Weet je zeker dat je door wilt gaan. En dan een heel klein linkje onderin om toch door te gaan. Ongeacht de content, wat misschien niks anders dan een logo kan zijn. Of zo een suf Under Construction gifje.

Met alle respect voor de dames, ook helemaal die onder ons. Maar het lijken wel wijven, die browsers.
17-08-2023, 23:55 door Anoniem
U ziet het zelf chroom is niet meer dan een laagje . Chroom is geen oplossing maar het probleem zelf
Al mijn gebruikers gebruiken die rommel niet dus heb ik op zich geen probleem. Dus hoe meer website waarschuwen voor het gebruik van de gevaarlijke lekken in chroom . Zij zetten telkens websitebouwers te kakken maar oo al zij ooit een lek hebben . Bij mijn sites wordt telkens onder de aandacht gebracht niet in te loggen met chroom omdat deze onbetrouwbaar is.Het mes moet aan twee kanten snijden.
18-08-2023, 06:19 door Anoniem
Ik vindt dat sommige websites gewoon HTTP moeten kunnen blijven. Browsers moeten niet "beter weten" dan de website adminstrators zelf.
18-08-2023, 09:33 door Anoniem
Door Anoniem: ik vind het nog steeds absurd dat browsers wel ZEIKEN over certificaten die door https gebruikt worden naar mijn routers, firewalls, UPSen, PDU's en switches, maar niet default de HTTPS site pakken als die er wel is.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
Omdat de basis van certificaten is, dat er een trust moet zijn vanuit waar het certificaat is uitgegeven en je endpoint.

Dat dit waardeloos is voor inderdaad je genoemde devices klopt. Aan de andere kant, als beheerder moet je dan gewoon zorgen dat je devices trusted certificaten zijn. Dit is vaak gewoon te automatiseren tegen een Enterprise PKI, maar vraagt inderdaad wel inrichting en beheer.

Alternatief is ieder jaar (HTTPS certificaten mogen maar 12 maanden gelden zijn (waardeloos voor dit soort devices)) de certificaten vervangen.
18-08-2023, 09:34 door Anoniem
Door Anoniem:
Het helpt als je je randapparatuur van goede certigicaten voorziet.
Het is bepaald geen rocket science....

Leuk bij 1 of 2 devices, maar bij 10tallen is het al best veel werk om dit te onderhouden. Zeker bij thuis gebruikers is dit eigenlijk niet te doen
18-08-2023, 11:08 door Anoniem
Door Anoniem:
Door Anoniem: ik vind het nog steeds absurd dat browsers wel ZEIKEN over certificaten die door https gebruikt worden naar mijn routers, firewalls, UPSen, PDU's en switches, maar niet default de HTTPS site pakken als die er wel is.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
Omdat de basis van certificaten is, dat er een trust moet zijn vanuit waar het certificaat is uitgegeven en je endpoint.

Dat dit waardeloos is voor inderdaad je genoemde devices klopt. Aan de andere kant, als beheerder moet je dan gewoon zorgen dat je devices trusted certificaten zijn. Dit is vaak gewoon te automatiseren tegen een Enterprise PKI, maar vraagt inderdaad wel inrichting en beheer.

Alternatief is ieder jaar (HTTPS certificaten mogen maar 12 maanden gelden zijn (waardeloos voor dit soort devices)) de certificaten vervangen.

Als het aan Google ligt dan is dat over een tijdje nog maar 90 dagen.

Voor powerusers and up is dat nog wel te managen, voor de gemiddelde eindgebruiker is dat geen optie.

Het probleem zou vrij simpel op te lossen kunnen zijn door de CA van het device bijv. mbv een installer op je apparaat te installeren en als het apparaat dan netjes z'n cert op tijd renewed dan werkt het allemaal zoals verwacht.

Het is overigens wel vrij bizar dat er nog zoveel over HTTP gaat en dat een self signed certificaat met een untrusted CA de default is op veel randapparatuur. Knullig.
19-08-2023, 12:29 door Anoniem
Er zijn nog zat http-websites, waar je via Intellitamper kan zien,
wat er zoal op de webserver staat.
Verder is er natuurlijk shodan,

Maar https is het ook nog niet helemaal.
Doe maar eens een scannetje met de Recx Security Anmalyser.

Veel 'best policies' niet geimplementeerd.

Als de site-owner voor een dubbeltje op de eerste rang wil zitten,
betaal je later soms de hoofdprijs voor insecurity.

Er verandert echt te weinig aan dit beeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.