Sinds iOS en iPadOS versie 18.2 heeft Safari (de standaard webbrowser, het blauwe kompas) een instelling die het openen van websites veiliger maakt, vooral als u van publieke WiFi gebruik maakt (restaurant, trein, hotels etc).

Sla hieronder gerust alle tekst over die u niet interessant lijkt. Maar zet die instelling aan, voor uw eigen bestwil (en doe dat ook bij uw ouders)!

De plaatjes onderin de bovenste "toot" in https://infosec.exchange/@ErikvanStraten/113946883735914839 zullen volstaan voor mensen die meer van iPhones/iPads weten dan gemiddeld.

Controleer sowieso regelmatig of uw iPhone of iPad de laatste update geïnstalleerd heeft: open "Instellingen" (het grijze tandwieltje), open "Algemeen" en vervolgens "Software update" (doe dat alleen als u een WiFi-internetverbinding heeft, anders kan het ten koste gaan van uw telefoonrekening).

De laatste versie op dit moment is 18.3.

Na het updaten en opnieuw opstarten opent u in "Instellingen" onderaan "Apps". Zoek naar "Safari" en open dat.

Scroll het scherm naar boven totdat u het lichtgrijze kopje "PRIVACY EN BEVEILIGING" ziet.

Daaronder zou moeten staan: "Waarschuwing voor onveilige verbindingen" (standaard staat die instelling uit).

Als u dat AAN zet toont Safari u een waarschuwing als er (ook tijdelijk) gebruik gemaakt wordt van een verbinding met
  http://
in plaats van met
  https://

(Het feitelijke protocol is "http" of "https" (met de 's' van "secure") terwijl "://" een "scheidingsteken" is, maar om het onderscheid met de website-naam = domeinnaam te benadrukken, gebruik ik in dit artikel steeds de samenstelling).

Bij http:// weet u, vooral op een minder vertrouwd netwerk (zoals WiFi in een vliegveld, zie https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/), niet zeker of Safari echt een verbinding heeft met de server waarvan u de website-naam in de adresbalk van Safari ziet.

(Techneuten zeggen "domeinnaam" i.p.v. "website-naam").

Sterker, u kunt http:// vergelijken met wegwijzers die door vandalen in een andere richting kunnen worden gedraaid, waardoor u (als u geen moderne navigatie gebruikt) de verkeerde kant op kunt worden gestuurd.

Vergelijkbaar, bij http:// kan een aanvaller Safari, zonder dat u gewaarschuwd wordt, doorsturen naar een nepwebsite (die als twee druppels op de echte lijkt) - doch met een iets afwijkende (of totaal andere) website-naam. Als die nepwebsite https:// ondersteunt, merkt u niet dat Safari naar een andere website is gestuurd dan door u bedoeld.

Bij het gebruik van uitsluitend https:// is "omleiden" nagenoeg onmogelijk. Als genoemde Safari-instelling AAN staat, maakt het niets uit of u bijvoorbeeld google.com of http://google.com intikt in de adresbalk: Safari maakt daar dan automatisch https:// van vóórdat verbinding met de server wordt gemaakt. (Voor de techneuten: google.com gebruikt geen HSTS en staat niet op de HSTS-preload lijst).

Nadeel: sommige websites, vooral "smart" apparatuur in uw huis (waaronder de beheer-interface van uw modem, zoals de laatste van Ziggo) ondersteunt https:// vaak niet. Als u bijvoorbeeld http://192.168.178.1 moet openen, zal Safari u waarschuwen voordat de verbinding wordt gemaakt. Als u op "Ga verder" drukt, werkt alles als vanouds.

Een ander voorbeeld zijn stompzinnige "jump sites" zoals http://gemeente.amsterdam (deze ondersteunt uitsluitend http:// en dat is, voor overheden, tegen de wet). Als het goed is, met de hier beschreven instelling uit, stuurt bovenstaande link Safari door naar https://amsterdam.nl (merk op dat die link wel met https:// begint).

Risico: als u, op een onvertrouwd netwerk, http://gemeente.amsterdam opent, loopt u het risico dat Safari naar een nepwebsite wordt doorgestuurd, met bijvoorbeeld de naam
  gemeenteamsterdam·com
of
  amsterdam·top
en u geen enkele foutmelding ziet (en de getoonde pagina als twee druppels op de echte kan lijken). Nb. in die laatste twee website-namen heb ik de laatste punt vervangen door · (een hoge punt) om onbedoeld openen te voorkómen.

Als u genoemde instelling in Safari aanzet (wat ik 100% aanraad, dit zou m.i. een standaard-instelling moeten zijn in alle browsers), en u krijgt het waarschuwingsscherm te zien (zie het tweede plaatje): als u op "Ga verder" drukt, wordt meteen de onveilige http:// verbinding gemaakt (zonder verdere vragen). Let dan dubbel goed op de vervolgens in de adresbalk van Safari getoonde website-naam!

Als u een http:// verbinding heeft toegestaan (zoals bij http://gemeente.amsterdam), onthoudt Safari dat een tijd (ik weet nog niet of dit tijdbegrensd is, waarschijnlijk wel). Als u Safari sluit, door de geopende app van het scherm te vegen, lijkt Safari alle toestemmingen te vergeten die u voor http:// verbindingen gegeven heeft.

Desnoods (dit raad ik af) kunt u Safari dwingen om onthouden toestemmingen te verwijderen door de gehele geschiedenis van Safari te wissen. Advies: vóór dat u dat doet, exporteer eerst alle website-data, want onthouden inloggegevens bent u ook kwijt als u de hele browsergeschiedenis wist. Met zo'n export kunt u terug naar de oude situatie door het export-bestand weer te importeren.

Meer informatie ziet u door in https://infosec.exchange/@ErikvanStraten/113946883735914839 op "Alt" in het plaatje te drukken (ook te zien onderaan dit artikel). Het linkerplaatje laat de nieuwe instelling voor Safari zien.

Voor het rechterplaatje heb ik http://http.badssl.com gekozen. Dat heb ik gedaan omdat ik wat wisselende ervaringen had met de "jumpsite" http://gemeente.amsterdam.

(Voor techneuten: Safari onthoudt onder mij nog onbekende omstandigheden dat het om een jumpsite gaat. In een export van de browsergeschiedenis zag ik in "Geschiedenis.json", onder "http://gemeente.amsterdam" o.a. een regel:
  "destination.url" : "https://www.amsterdam.nl"
: als de browser dat benut wordt er geen http:// gebruikt als u "http://gemeente.amsterdam" opent; de eerste stap wordt dan overgeslagen door Safari, die "snapt" dat u https://amsterdam.nl bedoelt).

De website https://badssl.com bevat allerlei pagina's en sub-website-namen om browsers te testen, en is -voor zover ik weet- betrouwbaar. Niet alles is up-to-date (bijv. het certificaat van https://extended-validation.badssl.com/ is verlopen).

In plaats van te testen met http://gemeente.amsterdam kunt u ook testen met bijv. http://http.badssl.com en http://www.buitenhoftv.nl.

M.b t. die laatste: als u 2x op more/meer drukt in https://youtube.com/watch?v=WalOiq0mrNw ziet u onder/achter:

"Meer van Buitenhof:
>> Vind"

een kennelijke https:// link naar www.buitenhoftv.nl - maar u wordt belazerd (die jumpsite ondersteunt uitsluitend http://). Precies daarom raad ik aan om deze Safari instelling aan te zetten. Ook sommige QR-codes bevatten http://-links terwijl de site óók https ondersteunt (zie bijv. https://security.nl/posting/874702).

Met enorme dank aan Thomas Bosboom (https://infosec.exchange/@thomasbosboom) die mij op deze instelling wees (in https://infosec.exchange/@thomasbosboom/113945617133456130 - met screenshot van de Engelstalige intelling "Not Secure Connection Warning").

Screenshots kan ik op deze site niet laten zien, maar wel de "Alt" tekst voor slechtzienden onder die plaatjes: