Chrome introduceert nieuwe functies om http-verkeer te verminderen
Google Chrome krijgt meer functies om http-websites veiliger te bezoeken, waaronder het upgraden van http-verkeer naar https. Chrome-gebruikers krijgen ook een waarschuwingsmelding te zien voordat zij een bestand downloaden via een http-verbinding.
De maatregelen zijn volgens Google nodig omdat – ondanks eerdere inspanningen om https te stimuleren – nog steeds vijf tot tien procent van het webverkeer in Chrome blijft steken op http. Webverkeer via http is eenvoudiger te onderscheppen door kwaadwillenden. Google toont Chrome-gebruikers al tijden een waarschuwingsmelding als zij een http-webpagina bezoeken, maar erkent in een blogpost dat veel gebruikers de melding niet doorhebben en dat de melding niet voorkomt dat kwaadwillenden de webpagina aanpassen.
Om het verkeer via http verder te verminderen, gaat Google voortaan alle http://-navigaties upgraden naar https://. De techniek die Google hiervoor gebruikt, is vergelijkbaar met HSTS-upgrading. Volgens Google werkt de techniek in bijna alle situaties, alleen niet als https echt niet beschikbaar is. Google test de functie nu in Chrome 115 en verwacht de functie ‘binnenkort’ uit te rollen naar alle Chrome-gebruikers.
Chrome krijgt ook een expliciete waarschuwings-pop-up als de gebruiker een bestand via een http-verbinding wil downloaden. De pop-up raadt de gebruiker aan om het bestand weg te gooien, maar laat de gebruiker het onveilige bestand ook downloaden. Deze pop-up verschijnt naar Google’s verwachting vanaf medio september in Chrome.
Google breidt ook zijn HTTPS-First Mode-beveiligingsmaatregelen uit. In deze modus vraagt Chrome de gebruiker om expliciete toestemming voor het tonen van een http-webpagina. De modus is nu ook beschikbaar voor gebruikers in Google’s Advanced Protection Program die ingelogd zijn in Chrome. Volgens Google was dit een wens van gebruikers. De modus wordt binnenkort ook standaard geactiveerd in de incognitofunctie van Chrome. Google experimenteert ook met het automatisch inschakelen van de modus voor websites waarvan Chrome weet dat de gebruiker die normaliter bezoekt via https, en met het automatisch inschakelen van de modus voor gebruikers die vrijwel nooit http-webpagina’s bezoeken.
Chrome-gebruikers die de https-upgrading al voor de brede uitrol willen testen, kunnen dat vanaf vandaag doen via chrome://flags. Daar zijn HTTPS Upgrades en Insecure download warnings te activeren. De HTTPS-First Mode is te activeren via de beveiligingsinstellingen van Chrome.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....
Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....
Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
Het is bepaald geen rocket science....
Het is bepaald geen rocket science....
Waarom zou ik overal certificaten op willen plakken? De meeste systemen kunnen niet eens naar buiten, dus kunnen niet een een CRL check doen.. Het is dan onzin om daar 'echte' certificaten voor aan te vragen, bovendien kunnen ze niet geupdatet worden... En ik zie nog minder valide redenen om NAS, UPS, switches en PDU's aan internet te gaan hangen voor de veiligheid, sorry, dan ga ik nog liever terug naar Netscape.
certificaten gaan er vanuit dat alles in internet hangt, bij mij hangen alleen 3 firewalls aan internet, voor de rest niets (ja, een zooi clients via wifi op een apart VLAN op de aparte switch, in een separaat VRF op de router, op een aparte VDOM in de firewall.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
"waarschuwen voor http site"... in de adres balk staat in dezelfde kleur als de rest van je profiel NOT SECURE... nou, poe poe... dat is toch wel effe wat andere koek als ' YOU ARE BEING HACKED BY HACKERS !!! RED ALERT.. CLICK HERE TO GO BACK.... ARE YOU SURE YOU DON"T WANT TO GO BACK!!??? CLICK HERE TO GO BACK AGAIN"....
Dus waarschuwen voor http? Sod off... Ga moerasland in florida verkopen ofzo, dat is geloofwaardiger.
Het is bepaald geen rocket science....
Is er nog iemand die in de gaten heeft hoe je onnodig met werk wordt opgezadeld?
Het is volstrekt onnodig en onzinnig om in je privé omgeving gebruik te moeten maken van certificaten. Het is nu net zoiets als dat je iedere deur in je huis van een slot gaat voorzien omdat het veiliger is.
Die browsers ontwikkelaars moeten eens wat minder op mijn stoel gaan zitten. Ik bepaal zelfs wel of ik een certificaat nodig heb.
Zoals het er nu naar uitziet duurt het niet lang meer dat ik verplicht wordt om op ieder device een echt certificaat te installeren omdat de browser leverancier het mij afdwingt.
Die man die dat moerasland verkocht was Rienk Kamer. Ken ik nog uit de kroeg. Die zei ooit iets als dat pas mag meepraten als je op één dag een miljoen hebt verloren en toch gewoon doorgaat.
Ik mag meepraten.
KPN heeft het ooit geprobeerd met Het Net. Microsoft trouwens ook. Proberen de baas te spelen van het internet. Google probeert het. Maar Meta ook. Zie ik ineens een popup dat "mijn internet verbinding is hersteld". Alsof zij de baas van het hele zooitje zijn. Dat zijn ze net zo min als hun ambitieuze voorgangers.
Wat ik al jaren irritant vind is dat al die browsers, als een site geen https is, of gewoon een certificaat verlopen is, gaan gillen alsof je de grens met Noord Korea wil oversteken.
Gevaarlijk, gezielig en eng. Weet je zeker dat je door wilt gaan. En dan een heel klein linkje onderin om toch door te gaan. Ongeacht de content, wat misschien niks anders dan een logo kan zijn. Of zo een suf Under Construction gifje.
Met alle respect voor de dames, ook helemaal die onder ons. Maar het lijken wel wijven, die browsers.
Al mijn gebruikers gebruiken die rommel niet dus heb ik op zich geen probleem. Dus hoe meer website waarschuwen voor het gebruik van de gevaarlijke lekken in chroom . Zij zetten telkens websitebouwers te kakken maar oo al zij ooit een lek hebben . Bij mijn sites wordt telkens onder de aandacht gebracht niet in te loggen met chroom omdat deze onbetrouwbaar is.Het mes moet aan twee kanten snijden.
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
Dat dit waardeloos is voor inderdaad je genoemde devices klopt. Aan de andere kant, als beheerder moet je dan gewoon zorgen dat je devices trusted certificaten zijn. Dit is vaak gewoon te automatiseren tegen een Enterprise PKI, maar vraagt inderdaad wel inrichting en beheer.
Alternatief is ieder jaar (HTTPS certificaten mogen maar 12 maanden gelden zijn (waardeloos voor dit soort devices)) de certificaten vervangen.
Het helpt als je je randapparatuur van goede certigicaten voorziet.
Het is bepaald geen rocket science....
Leuk bij 1 of 2 devices, maar bij 10tallen is het al best veel werk om dit te onderhouden. Zeker bij thuis gebruikers is dit eigenlijk niet te doen
Want, als ik naar de http site ga van mijn UPS, dan is er niets aan de hand, maar ga ik naar dezelfde UPS met https, dan proberen hackers mijn gegevens te stelen?
Wat voor plaat voor je kop heb je dan als browser maker?
Dat dit waardeloos is voor inderdaad je genoemde devices klopt. Aan de andere kant, als beheerder moet je dan gewoon zorgen dat je devices trusted certificaten zijn. Dit is vaak gewoon te automatiseren tegen een Enterprise PKI, maar vraagt inderdaad wel inrichting en beheer.
Alternatief is ieder jaar (HTTPS certificaten mogen maar 12 maanden gelden zijn (waardeloos voor dit soort devices)) de certificaten vervangen.
Als het aan Google ligt dan is dat over een tijdje nog maar 90 dagen.
Voor powerusers and up is dat nog wel te managen, voor de gemiddelde eindgebruiker is dat geen optie.
Het probleem zou vrij simpel op te lossen kunnen zijn door de CA van het device bijv. mbv een installer op je apparaat te installeren en als het apparaat dan netjes z'n cert op tijd renewed dan werkt het allemaal zoals verwacht.
Het is overigens wel vrij bizar dat er nog zoveel over HTTP gaat en dat een self signed certificaat met een untrusted CA de default is op veel randapparatuur. Knullig.
wat er zoal op de webserver staat.
Verder is er natuurlijk shodan,
Maar https is het ook nog niet helemaal.
Doe maar eens een scannetje met de Recx Security Anmalyser.
Veel 'best policies' niet geimplementeerd.
Als de site-owner voor een dubbeltje op de eerste rang wil zitten,
betaal je later soms de hoofdprijs voor insecurity.
Er verandert echt te weinig aan dit beeld.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
InfoSec Kart Cup 2024, organised by Outflank and Northwave
The InfoSec Kart Cup is open to all infosec enthusiasts (red and blue) aged 18 and above. Whether you're a seasoned pro or a newbie in the world of kart racing, this event is perfect for you! Gather your colleagues, because a team (one kart) can consist of two to four people. Where: Circuit Park Berghem
When: June 27th 2024, 14:00 - 20:00
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!