chrome-gaat-alle-http-content-op-https-sites-blokkeren
Advertentie


image

Chrome gaat alle http-content op https-sites blokkeren om zo gebruikers te beschermen. Volgens het techbedrijf besteden Chrome-gebruikers inmiddels 90 procent van hun tijd op https-sites. Het komt nog altijd voor dat https-sites content via het onversleutelde http downloaden.

Dit wordt ook wel mixed content genoemd. Een aanvaller kan deze content aanpassen of onderscheppen, of bijvoorbeeld gebruiken om trackingcookies te injecteren. Standaard blokkeren browsers al allerlei mixed content zoals scripts en iframes. Vanaf Chrome 79 start Google een proces om uiteindelijk alle http-content op https-sites te blokkeren. Met de lancering van Chrome 79 in december van dit jaar krijgt de browser een nieuwe instelling waarmee gebruikers geblokkeerde mixed content kunnen toestaan.

De volgende stap in het proces komt met de lancering van Chrome 80 in januari 2020. Chrome zal dan automatisch alle audio en video die via http wordt geladen eerst via https proberen te laden. Wanneer dit niet lukt wordt de content geblokkeerd. Via de eerder genoemde instelling kunnen gebruikers deze content alsnog laden. Vanaf Chrome 81 zal de browser dezelfde werkwijze toepassen bij afbeeldingen die via http worden geladen.

Uiteindelijk zal de browser alleen nog toestaan dat https-sites https-content laden. Webontwikkelaars krijgen van Google het advies om meteen al hun mixed content naar https te upgraden om waarschuwingen en andere problemen te voorkomen.

Image

L.S.

Ik vind dit feitelijk een grote “security through obscurity” operatie.

Toegang tot de content gebeurt daarna elders “uit het directe zicht”.

Via Google tracking, fingerprinting etc. of in de cloud of bij de provider of loggende VPN.

Je kunt niet meer eenvoudig met Intellitamper bijvoorbeeld vaststellen,

wat er allemaal op een server staat, ergo “security through obscurity”.

Er zijn echter nog andere https scanmogelijkheden, bijvoorbeeld via safe browsing van av vendors

en file viewers.

Advertentie

Vertrouwen we Google op de blauwe ogen met hun doorgevoerde https everywhere actie,

die nu dus verplicht wordt op een chrome browser of chrome-kloon (wat ze infeite allemaal zijn).

Het gaat immers nog slechts over de “veiliger” verbinding, niet over wat er achter die verbinding hangt.

J.O.

Sjeemig, ondersteunde Chrome werkelijk nog mixed content? Op webpagina’s met dergelijke mixed content kun je er dan niet vanuit gaan dat wat je ziet is aangeleverd door en/of:

1) de partij waarvan je de domeinnaam in de URL-balk van jouw browser ziet (met geauthenticeerde https verbinding);

2) derde partijen die worden vertrouwd door bovenstaande partij.

Opvallend dat notabene Google hier zo lang mee gewacht heeft, want in de U.S zijn er providers die via dit lek advertenties van anderen vervangen of advertenties toevoegen. Het zou me niet verbazen als in nog onaangenamere landen het niet bij advertenties blijft (denk aan fake news en malware (-popups)).

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert “Anoniem“. Dit betekent dat Security.NL geen
accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je
nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert
moet je altijd een captchacode opgeven.

Advertentie

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in