google-verwijdert-slot-icoon-voor-https-waarschijnlijk-in-2021
Advertentie


image

Er is een zeer reële kans dat het slot-icoon voor https-sites in 2021 uit de adresbalk van Chrome zal verdwijnen, zo heeft Emily Stark, security-engineer van Google Chrome, via Twitter bekendgemaakt. Volgens Google is https de standaard en moeten gebruikers alleen worden gewaarschuwd wanneer hiervan wordt afgeweken.

“Ons uiteindelijke doel is om alleen markeringen in Chrome weer te geven wanneer een website niet veilig is, en de standaard ongemarkeerde staat veilig is. We zullen dit in de loop van de tijd uitrollen”, zo liet Google vorig jaar nog weten. Vorige maand besloot Goolgle al te stoppen met het weergeven van Extended Validation (EV) certificaten in de adresbalk van Chrome, wat binnenkort ook door Mozillas Firefox zal worden gedaan.

Een beveiligingsonderzoeker vroeg Stark op Twitter wanneer ook het slot-icoon zal verdwijnen. Daarop laat ze weten dat 2021 aannemelijk is. Eerst zal er echter moeten worden geëxperimenteerd met een waarschuwingsindicator voor http. Het gaat dan met name om mobiele platformen waar Chrome op dit moment de “niet veilig” tekst voor http-sites, zoals die wel wordt weergeven in de desktopversie van de browser, niet laat zien. Deze experimenten staan voor het einde van dit jaar en begin volgend jaar gepland.

Volgens beveiligingsonderzoeker Troy Hunt maken steeds meer websites gebruik van https, waardoor het slot-icoon een overbodige indicator wordt. “Het nadrukkelijker weergeven van http als gevaarlijk zal in de toekomst logischer zijn.” Ook moet het een einde maken aan de onduidelijkheid die het slot-icoon zou veroorzaken. “Woorden als “veilig” zijn te eenvoudig te verkeerd te interpreteren”, aldus Hunt.

Dom. Door af te wijken van wat andere browsers doen creëer je onduidelijkheid. Leken uitleggen dat ze op het slotje moeten letten wordt zo weer wat lastiger.

Nu kan je zien of iets SSL is of niet, straks kan je zien of het niet SSL is en als het mechanisme niet werkt zie je niet dat een site niet SSL is.

Dit is een beetje hetzelfde als de signalering bij het spoor. De lamp is aan of de lamp knippert, is de lamp uit dan is deze kapot.

Je kan je verder afvragen of een informatie-site / pagina wel SSL zou moeten zijn, wat is de toegevoegde waarde? Ik heb het puur over een informatie site / pagina, worden er gegevens uitgewisseld dan is het natuurlijk een andere zaak.

Dit stond woensdag al hier, toen was het Firefox!

Door Ap Matteman: Je kan je verder afvragen of een informatie-site / pagina wel SSL zou moeten zijn, wat is de toegevoegde waarde?

Authenticiteit, integriteit, privacy en het voorkomen dat derden informatie (zoals advertenties en/of malware) injecteren.

Voor mensen die kennis van hebben heeft het eigenlijk geen waarde.

Het slotje kan evengoed van een crimineel komen.

Vroeger diende je te betalen voor een certificaat nu kan je het gratis bij elke crimineel krijgen. Hierdoor ontstaat het grootste lek die niet zomaar te zien is.

Het enige doel van hen was dat de certificaten van google hoger zouden scoren , dus hun positie versterken.

Er zijn dus mensen met een website die dachten dat https alles beveiligde en validatie , injectiecontrole , firewall niet meer hoefde. Het is meer een vloek dan een zegen.(DIT MOET NOG WEL GECONTROLEERT WORDEN)

Als echter niemand hoeft in te loggen hoeft een site niet beveiligt te zijn.

Als een wachwoord word geincripteert met sleutelsysteem dan is er voldoende beveiliging . Als de gegevens publiek komen hoef je het echter niet te controleren dat iemand het aanpaste dat zie je als het geplaatst is.

DUS BESLUIT:

HTTPS geeft een vals gevoel van veiligheid.

Door Ap Matteman: Nu kan je zien of iets SSL is of niet, straks kan je zien of het niet SSL is en als het mechanisme niet werkt zie je niet dat een site niet SSL is.

Dit is een beetje hetzelfde als de signalering bij het spoor. De lamp is aan of de lamp knippert, is de lamp uit dan is deze kapot.

Je kan je verder afvragen of een informatie-site / pagina wel SSL zou moeten zijn, wat is de toegevoegde waarde? Ik heb het puur over een informatie site / pagina, worden er gegevens uitgewisseld dan is het natuurlijk een andere zaak.

Je kunt je ook afvragen waarom een simpele htmlpagina GEEN SSL zou gebruiken. Naast dat SSL het verkeer versleutelt, zorgt het er ook voor dat een eventuele afluisteraar niet kan zien op welke pagina’s je precies zit, en kan het mogelijk MITM-aanvallen voorkomen. En het lijkt me onhandig om bij elke pagina die ik bezoek de afweging te maken of het een informatiepagina is, of dat het een pagina is waar ik ook informatie naartoe stuur. Ik denk dat gebruikers daar ook wel eens de mist mee in kunnen gaan.

Door Erik van Straten:

Door Ap Matteman: Je kan je verder afvragen of een informatie-site / pagina wel SSL zou moeten zijn, wat is de toegevoegde waarde?

Authenticiteit, integriteit, privacy en het voorkomen dat derden informatie (zoals advertenties en/of malware) injecteren.

Wanneer een site https gebruikt, maar zijn advertenties door een derde partij laat aanleveren, heb je nog niet zeker dat geen malware wordt geïnjecteerd. Daarvoor ben je van die andere partij afhankelijk en we weten dat het soms fout gaat.

In een https pagina kan ook een lek zitten als Heartbleed.

Als je alleen een statische http pagina hebt, hoef je minder vaak je web server te updaten en kan deze zelfs veiliger zijn.

Door Anoniem: Dom. Door af te wijken van wat andere browsers doen creëer je onduidelijkheid. Leken uitleggen dat ze op het slotje moeten letten wordt zo weer wat lastiger.

Lees het artikel nog eens goed door. “Versleuteld” is de standaard en hoef je niet meer aan te geven. “Niet versleuteld” moet je wel aangeven.

Door Anoniem: Wanneer een site https gebruikt, maar zijn advertenties door een derde partij laat aanleveren, heb je nog niet zeker dat geen malware wordt geïnjecteerd.

Klopt. Maar in het geval van https is er sprake van individuele verbindingen met identificeerbare (op basis van domeinnaam en/of IP-adres) sites, die je desgewenst kunt blokkeren. Zo gebruik ik NoScript waarmee ik voorkom dat mijn browser Javascript vanaf third party sites downloadt en uitvoert.

Bij http kan een actieve MitM (deze hoeft niet fysiek toegang te hebben tot een verbinding, middels manipulatie van DNS en/of BGP kan het netwerkverkeer via de MitM worden gerouteerd) alle voorbijkomende informatie wijzigen of vervangen naar keuze, zonder dat het voor de gebruiker van de webbrowser traceerbaar is of en waar dat gebeurt, en wie dat doet.

(Een “leuke” in dit kader, zo vlak voor het weekend, is https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access met een CVSS Score: Base 9.8).

Is https de oplossing voor alle security- en privacy-problemen? Nee. Maar de voordelen van https t.o.v. http zijn wel heel groot, en daarom is het snel uitfaseren van http (en “mixed content”) een heel goed idee. En niet alleen ik vind dat.

Door Anoniem: In een https pagina kan ook een lek zitten als Heartbleed.

Klopt. Net zoals dat de kans op verdrinking groter is als je, in je auto, altijd een autogordel om hebt.

Door Erik van Straten:

Door Anoniem: In een https pagina kan ook een lek zitten als Heartbleed.

Klopt. Net zoals dat de kans op verdrinking groter is als je, in je auto, altijd een autogordel om hebt.

Daarom rijd ik ook motor 😉

Anoniem 11:31

Door Anoniem: Daarom rijd ik ook motor 😉

Touché… LOL ;^)

Daarom doe ik het maar zelf met uMatrix extensie in de browser.

Of NoScript in Firefox.

Alles wat niet perse nodig is (3rd party content o.a.) voor het functioneren in de browser direct blokkeren.

Bij een eerste bezoek aan een site alles via uMatrix blokkeren,

tot de site in kwestie is gechecked als veilig.

Het laatste is moeilijk, omdat je altijd achter de scanfeiten kunt lopen.

Google Safebrowsing, Bitdefender & DrWeb url scanners, MBAM,

WindowsDefender in de browser etc.

Je kunt dus steeds slachtoffer worden van PHISHers, spammers, scammers, smut-launchers,

bitcoin-miners en via tal van andere malcreanten. 0-day en dan BINGO, helaas.

luntrus

Dom. Door af te wijken van wat andere browsers doen creëer je onduidelijkheid. Leken uitleggen dat ze op het slotje moeten letten wordt zo weer wat lastiger.

Denk je dat andere browsers statisch zijn, en niet aan verandering onderhevig zijn ? Denk je dat er over dit soort zaken geen contacten zijn tussen de partijen die browsers maken, en dat de rest in 2021 net zo zal zijn als nu ? Volg je de working groups van het World Wide Web consortium (www.w3.org), omtrent dit soort onderwerpen, waar ze hierover afspraken maken ?

Grappig hoe hier alles meteen als ”dom” wordt bestempeld.

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert “Anoniem“. Dit betekent dat Security.NL geen
accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je
nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert
moet je altijd een captchacode opgeven.

Advertentie

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in