EFF en Tor brengen Https Everywhere-add-on naar Firefox
De EFF en het TOR Project hebben de handen ineengeslagen bij de ontwikkeling van een Firefox-add-on die gebruikers automatisch naar https-versies van pagina's doorsluist. Versleutelde verbindingen zouden zo minder lastig te gebruiken zijn.
EFF en Tor hebben een publieke bèta van de Https Everywhere-add-on uitgebracht. Volgens de makers is de tool geïnspireerd op Googles mogelijkheid om via https te zoeken. Veel sites geven die mogelijkheid wel, maar stellen die niet standaard in. De add-on zorgt ervoor dat het verkeer automatisch via https verloopt.
"Wij zorgen ervoor dat de meeste of alle communicatie van de browser met populaire sites die ssl ondersteunen, maar het niet standaard aanbieden, versleuteld verloopt", aldus de beide partijen die zich voor de privacy van internetters inzetten. Volgens Mike Perry van het Tor Project maken veel sites het ingewikkeld om encryptie via https te gebruiken: "Vooral voor Googles ssl-zoekfunctie en voor Wikipedia zijn complexe handelingen voor het herschrijven van url's en filtering nodig."
De add-on is gebaseerd op de NoScript Strict Transport Security-implementatie, maar met de nodige aanpassingen om het effectiever dan NoScript te laten functioneren. Ook zou de plug-in veiliger werken dan SSL Certificates Pro en KB Enforcer, die respectievelijk op GreaseMonkey en Google Chrome Extensions zijn gebaseerd. Momenteel ondersteunt Https Everywhere onder andere Google Search, Wikipedia, Twitter, Facebook, The New York Times, The Washington Post, IxQuick. Identi.ca en Scroogle.
Reacties (25)
.
[Reactie gewijzigd door dotpim op maandag 21 juni 2010 21:01]
Ik heb 'm even geinstalleerd en geprobeerd, maar hij redirect automatisch naar https. Als ik nu in mijn awesomebar http://facebook.com/ kies, dan kom ik automatisch op https://facebook.com/ uit. Het werkt dus wel in combinatie met je awesomebar, maar hij gaat niet alle URL's in je cache veranderen. Dat lijkt me natuurlijk ook erg ongewenst, want dat kun je lastig terug draaien als je de plug-in uitschakelt.
(En als je echt op je privacy gesteld bent heb je de cache natuurlijk uitgeschakeld en werkt de awesomebar sowieso niet
)
(En als je echt op je privacy gesteld bent heb je de cache natuurlijk uitgeschakeld en werkt de awesomebar sowieso niet
)
Ik zou daaraan willen toevoegen dat als je écht om je privacy geeft, je sowieso niet op Facebook zit...(En als je echt op je privacy gesteld bent heb je de cache natuurlijk uitgeschakeld en werkt de awesomebar sowieso niet
Leuk maar overbodig, ja het is even lastig om het in te stellen maar als je het eenmaal hebt gedaan dan is het ook gebeurt daar hoef je geen plugin voor te gebruiken. Zeker met de huidige plugin architectuur (geheugen vreten, traag en veel al buggy) doe ik dat soort dingen liever zelf dan dat ik op een tool van derde vertrouw. Daar naast gebruik ik over het algemeen een VPN verbinding die in ieder geval het laatste stukje van de data over wifi netjes verstopt. Natuurlijk als je http gebruikt moet de data ergens een deel leesbaar verstuurd worden maar het maakt mijn data wel een stuk lastiger te traceren dan wanneer je direct http over wifi gebruikt bijvoorbeeld van af een wifi hotspot in een cafe of zo...
Het is wel een leuk idee maar het zou beter zijn als sites zo veel mogelijk overstappen op het standaard aanbieden van https, het kost sites niets extra (ze hebben het toch al beschikbaar) en er zijn eigenlijk geen brouwsers meer te vinden die dit niet ondersteunen. Voor de mensen die zonder willen kunnen ze altijd nog de http connectie beschikbaar houden maar standaard hoeft dat al lang niet meer te zijn.
Het lijkt me een veel nettere oplossing dan mensen een pulgin die eigenlijk niet anders doet dan de requests herschrijven van http naar https om op die manier de noodzaak om de instellingen aan te passen weg te nemen.
Het is wel een leuk idee maar het zou beter zijn als sites zo veel mogelijk overstappen op het standaard aanbieden van https, het kost sites niets extra (ze hebben het toch al beschikbaar) en er zijn eigenlijk geen brouwsers meer te vinden die dit niet ondersteunen. Voor de mensen die zonder willen kunnen ze altijd nog de http connectie beschikbaar houden maar standaard hoeft dat al lang niet meer te zijn.
Het lijkt me een veel nettere oplossing dan mensen een pulgin die eigenlijk niet anders doet dan de requests herschrijven van http naar https om op die manier de noodzaak om de instellingen aan te passen weg te nemen.
Ga jij nou uitleggen dat jij het niet nodig hebt omdat je een stuk, dat mensen die bedraad internet gebruiken sowieso niet hebben, beter beveiligd hebt dan internetcafes?
Dat je het zelf ook goed kan regelen per site is waar, maar de rest van je verhaal vind ik vreemd.
Dat je het zelf ook goed kan regelen per site is waar, maar de rest van je verhaal vind ik vreemd.
Hoe stel je dat dan in? Voor zover mij bekent is er geen instelling in je browser die bij het intypen van bv "www.google.com" automatisch naar "https://www.google.com" gaat (en alleen wanneer er een https://.. bestaat).
Overigens, als je op een tool van derden wilt vertrouwen dan lijkt mij TOR en EFF toch wel 1 vd meest betrouwbare partijen.
Overigens, als je op een tool van derden wilt vertrouwen dan lijkt mij TOR en EFF toch wel 1 vd meest betrouwbare partijen.
Je hebt een punt dat deze software niet voor iedereen een goeie oplossing is. Maar laten we wel wezen, is er software die voor iedereen goed is?
Het probleem waar je in sommige landen (China, Iran) mee zit is dat de overheid actief MitM aanvallen doet - met name op publieke hotspots. Dan kan je leuk instellen dat je Google over https wil benaderen, maar die beveiliging is zinloos aangezien het certificaat wordt vervalst en sommige OSen/browsers dit niet duidelijk aan de gebruiker weergeven.
En dan heb je het over vertrouwen - wie vertrouw je meer, een open source tool van bekende privacy voorvechters of de code van een webprogrammeur die ergens verstopt is en per site weer anders geregeld is. En wat is sneller, 10 miljoen websites die zo'n stukje code (al dan niet efficient) implementeren, of een enkele geoptimaliseerde implementatie?
SSL verkeer wordt in veel gevallen toch niet als default ingesteld omdat het wel degelijk meer resources kost voor zowel de client als de server. Zeker voor mobiele clients is het verschil enorm, zet maar eens IMAP push mail op je telefoon aan met/zonder SSL en vergelijk de levensduur van je accu.
Het probleem waar je in sommige landen (China, Iran) mee zit is dat de overheid actief MitM aanvallen doet - met name op publieke hotspots. Dan kan je leuk instellen dat je Google over https wil benaderen, maar die beveiliging is zinloos aangezien het certificaat wordt vervalst en sommige OSen/browsers dit niet duidelijk aan de gebruiker weergeven.
En dan heb je het over vertrouwen - wie vertrouw je meer, een open source tool van bekende privacy voorvechters of de code van een webprogrammeur die ergens verstopt is en per site weer anders geregeld is. En wat is sneller, 10 miljoen websites die zo'n stukje code (al dan niet efficient) implementeren, of een enkele geoptimaliseerde implementatie?
SSL verkeer wordt in veel gevallen toch niet als default ingesteld omdat het wel degelijk meer resources kost voor zowel de client als de server. Zeker voor mobiele clients is het verschil enorm, zet maar eens IMAP push mail op je telefoon aan met/zonder SSL en vergelijk de levensduur van je accu.
Het zou inderdaad leuk zijn, maar lang niet alle sites hebben https beschikbaar, en het is ook zeker niet kosteloos. Naast het feit dat goede certificaten geld kosten (hoewel dat niet zo heel veel is) kost de encryptie cpu-power op de webservers en is er extra beheer nodig.Het is wel een leuk idee maar het zou beter zijn als sites zo veel mogelijk overstappen op het standaard aanbieden van https, het kost sites niets extra (ze hebben het toch al beschikbaar
Je vergeet dat het versleutelen van data processor-kracht kost, als je een druk bezochte site hebt is dat dus wel degelijk een aanslag op je systeem. Nu hoeft dat niet per definitie een probleem te zijn, want er zijn dedicated oplossingen beschikbaar die je als reverse-proxy in kunt zetten om het verkeer van HTTP naar HTTPS te versleuten (voor 't het internet op gaat)...
Verder zijn er genoeg sites die het niet aanbieden - iets als https://tweakers.net/ werkt bijvoorbeeld niet. Waarschijnlijk vanwege de hoeveelheid CPU-power die het kost om dit aan te bieden...
Verder is een VPN geen oplossing als je end-to-end encryptie wilt hebben, dan is https de enige juiste keuze...
Verder zijn er genoeg sites die het niet aanbieden - iets als https://tweakers.net/ werkt bijvoorbeeld niet. Waarschijnlijk vanwege de hoeveelheid CPU-power die het kost om dit aan te bieden...
Verder is een VPN geen oplossing als je end-to-end encryptie wilt hebben, dan is https de enige juiste keuze...
Beetje vaag verhaal. HTTPS werkt van client (of proxy) tot host en er is dus geen onversleutelde payload op het publieke net. Ik zie niet in hoe je dit kan vergelijken met VPN en WiFi.
Eigenlijk zou er een soort <link rel="secure"> element bij moeten komen die verwijst naar de https versie, zodat browsers hiervoor een userinterface kunnen aanbieden. Eigenlijk op dezelfde manier als RSS feeds nu weergegeven worden in bijv. Firefox. Je zou er ook aan kunnen denken om gebruikers de keuze te geven altijd automatisch door te sturen naar een https versie als die aanwezig is, als een instelling in de browser.
In een tijd waarin afluisterpraktijken steeds vaker voorkomen en waarin de overheid steeds vaker de gebruiker wil bekijken lijkt me dat zeker een wenselijke functie. Het zou natuurlijk nog veel beter zijn als sites hun bezoekers automatisch doorsturen naar een https versie wanneer dat wenselijk is. Ik geloof in ieder geval wel dat de 'wenselijk-grens' verder opgeschoven is de afgelopen tijd, zodat het bij meer sites wenselijk is om een https versie te gebruiken.
In een tijd waarin afluisterpraktijken steeds vaker voorkomen en waarin de overheid steeds vaker de gebruiker wil bekijken lijkt me dat zeker een wenselijke functie. Het zou natuurlijk nog veel beter zijn als sites hun bezoekers automatisch doorsturen naar een https versie wanneer dat wenselijk is. Ik geloof in ieder geval wel dat de 'wenselijk-grens' verder opgeschoven is de afgelopen tijd, zodat het bij meer sites wenselijk is om een https versie te gebruiken.
Prima ontwikkeling, dat mensen eindelijk bewust worden gemaakt voor het gebruik van SSL-verbindingen.
Maar....
Ik verbaas me nog altijd over de hoeveelheid websites die hun SSL-certificaten niet op orde hebben. Een onwetende gebruiker ziet dan een foutmelding, weet niet wat er precies aan de hand is, klikt gewoon klakkeloos op 'doorgaan' en kan net zo goed een valse site voor zijn neus krijgen. Ik denk dat het belangrijker is dat daar wat aan gedaan wordt.
Maar....
Ik verbaas me nog altijd over de hoeveelheid websites die hun SSL-certificaten niet op orde hebben. Een onwetende gebruiker ziet dan een foutmelding, weet niet wat er precies aan de hand is, klikt gewoon klakkeloos op 'doorgaan' en kan net zo goed een valse site voor zijn neus krijgen. Ik denk dat het belangrijker is dat daar wat aan gedaan wordt.
Kun je een voorbeeld noemen van een publieke site die actief HTTPS aanbied en een incorrect certificaat heeft. Het is goed mogelijk dat een bepaalde server ook een HTTPS-verbinding aanbied, zonder dat de eigenaar van de gehoste site dit weet. Als men dan echter de HTTPS-optie niet actief aanbied kun je het incorrect zijn van het certificaat moeilijk de webmaster verwijten.
Je zou de hoster er op aan kunnen spreken dat'ie foute HTTPS aanbied, maar dan nog. Verder is het wel/niet hebben van een juist certificaat slechts een klein onderdeel van de beveiliging - een browser als Firefox heeft verder een mooie structuur om dit soort certificaten toch te kunnen gebruiken, als jij als gebruiker de eerste keer tenminste de waarschuwing goed op je in laat werken en een goede controle uitvoert...
Je zou de hoster er op aan kunnen spreken dat'ie foute HTTPS aanbied, maar dan nog. Verder is het wel/niet hebben van een juist certificaat slechts een klein onderdeel van de beveiliging - een browser als Firefox heeft verder een mooie structuur om dit soort certificaten toch te kunnen gebruiken, als jij als gebruiker de eerste keer tenminste de waarschuwing goed op je in laat werken en een goede controle uitvoert...
En dat is nu net waar de schoen wringt. Een beetje slim nadenkende hacker/tweaker die al redelijk vaak met beveiliging te maken heeft gehad weet dat wel....een browser als Firefox heeft verder een mooie structuur om dit soort certificaten toch te kunnen gebruiken, als jij als gebruiker de eerste keer tenminste de waarschuwing goed op je in laat werken en een goede controle uitvoert...
Je oma die alleen af en toe het web wil surfen, en waarvoor je 'voor de veiligheid' deze plugin installeert (je waardeert toch ook HAAR privacy) zal bij het zien van de eerste foutmelding 'dit certificaat is verlopen' gelijk een verbaasd telefoontje jouw kant uit plegen of gewoon dom op 'ga door!' klikken.
Beveiliging, prima, maar het moet gewoon een stuk toegankelijker worden en gebruikers moeten op de hoogte gebracht worden van bepaalde zaken, bijvoorbeeld wát een certificaat eigenlijk doet.
Wat ze eindelijk eens moeten oplossen in FireFox is de mogelijkheid om HTTPS te forceren als er mixed-content is. In Internet Explorer kan je dit gemakkelijk instellen, maar in Firefox krijg je alleen een melding en vervolgens wordt zowel HTTP als HTTPS content getoont, waarbij er op dat moment dus een veiligheidsprobleem ontstaat.
Er is een plugin beschikbaar voor dit probleem op: https://crypto.stanford.edu/forcehttps/
Alleen die is niet geschikt voor FireFox v3.5+ en je krijgt daar dan de ironische foutmelding dat het certificaat niet gecontroleert kan worden.
Dit is echter iets wat gewoon in FireFox ingebouwd moet worden, en er is ook een tracker report over, maar staat nog steeds open. En natuurlijk ligt de schuld bij de website ontwikkelaar, want die kan simpelweg voorkomen dat er mixed-content wordt getoont. Echter zelfs een bedrijf als Google maakt hierin fouten, zoals met Google Wave.
Het is grappig dat Internet Explorer dit beter heeft geregeld als FireFox en dus een veiligere browser is als het op mixed-content aankomt.
Er is een plugin beschikbaar voor dit probleem op: https://crypto.stanford.edu/forcehttps/
Alleen die is niet geschikt voor FireFox v3.5+ en je krijgt daar dan de ironische foutmelding dat het certificaat niet gecontroleert kan worden.
Dit is echter iets wat gewoon in FireFox ingebouwd moet worden, en er is ook een tracker report over, maar staat nog steeds open. En natuurlijk ligt de schuld bij de website ontwikkelaar, want die kan simpelweg voorkomen dat er mixed-content wordt getoont. Echter zelfs een bedrijf als Google maakt hierin fouten, zoals met Google Wave.
Het is grappig dat Internet Explorer dit beter heeft geregeld als FireFox en dus een veiligere browser is als het op mixed-content aankomt.
Misschien begrijp ik je verhaal verkeerd maar is het niet juist de beste manier om bij mixed content de site onveilig te beschouwen? Dat is immers dichter bij de waarheid dan andersom.
Als een HTTPS site namelijk sommige content van HTTP sites haalt is die content niet ge-encrypt, daar kun je client side dan ook weinig aan veranderen lijkt me. Je kunt moeilijk HTTPS forceren met een server die dat niet ondersteunt.
Als een HTTPS site namelijk sommige content van HTTP sites haalt is die content niet ge-encrypt, daar kun je client side dan ook weinig aan veranderen lijkt me. Je kunt moeilijk HTTPS forceren met een server die dat niet ondersteunt.
[Reactie gewijzigd door Maurits van Baerle op maandag 21 juni 2010 20:23]
Volgens mij bedoelt hij daarmee dat FF dan bijvoorbeeld alleen de HTTPS content ophaalt en de HTTP content niet
Correct me if I'm wrong
Correct me if I'm wrong
Het gaat er inderdaad om dat ik een HTTPS website veilig moet kunnen gebruiken, als er echter mixed HTTP content wordt getoont dan is dat met FireFox niet mogelijk. Je krijgt een waarschuwing en SSL wordt uitgeschakelt.
Das fijn, maar ik heb dus liever de mogelijkheid om de HTTP content dan te blokkeren, zodat de website veilig gebruikt kan worden.
In Internet Explorer is dat gemakkelijk, standaard vraagt ie constant of je onveilige data wil tonen of blokkeren, of je kan de instellingen wijzigen dat het altijd geblokeerd wordt (mijn favoriete keuze, anders is het snel irritant).
De HTTP content zijn vaak 3rd-party advertenties, of andere content die toch meestal niet nodig is voor het gebruik van de HTTPS website. Maar op dat moment is het doorsturen van gevoelige gegevens in ieder geval veilig mogelijk.
Das fijn, maar ik heb dus liever de mogelijkheid om de HTTP content dan te blokkeren, zodat de website veilig gebruikt kan worden.
In Internet Explorer is dat gemakkelijk, standaard vraagt ie constant of je onveilige data wil tonen of blokkeren, of je kan de instellingen wijzigen dat het altijd geblokeerd wordt (mijn favoriete keuze, anders is het snel irritant).
De HTTP content zijn vaak 3rd-party advertenties, of andere content die toch meestal niet nodig is voor het gebruik van de HTTPS website. Maar op dat moment is het doorsturen van gevoelige gegevens in ieder geval veilig mogelijk.
Als we het hele internet gaan encrypten - hoeveel cpu power gaat dat dan bij elkaar kosten? En is dat beetje privacy ons echt waard?
De extra cpu power is waarschijnlijk verwaarloosbaar door het feit dat moderne processors overal optimalisaties voor hebben, dus het stroomverbruik zal bijna gelijk zijn.
En of het jou dat waard is moet je voor jezelf bepalen, maar waarom moet jouw ISP weten waar jij op googeld? En waarom moeten ze dat opslaan?
En of het jou dat waard is moet je voor jezelf bepalen, maar waarom moet jouw ISP weten waar jij op googeld? En waarom moeten ze dat opslaan?
dat slaat je ISP helemaal niet op, ze kijken er niet eens naar. (het zal ze een worst wezen ook)En of het jou dat waard is moet je voor jezelf bepalen, maar waarom moet jouw ISP weten waar jij op googeld? En waarom moeten ze dat opslaan?
Kun je Tweakers trouwens via HTTPS bezoeken? Ik laat niet veel berichten achter op Tweakers maar zou het leuker vinden als alles encrypted was, ik denk dat het voor de meeste gebruikers wel zo is. Als er dan met certificaten wordt gewerkt is inloggen toch overbodig toch?
OK net gelezen dat je gewoon HTTPS voor tweakers moet invullen en dat werkt dus niet, toch vreemd dat een technische site als Tweakers zoiets niet ondersteund.
Tweakers .... werk aan de winkel .....
OK net gelezen dat je gewoon HTTPS voor tweakers moet invullen en dat werkt dus niet, toch vreemd dat een technische site als Tweakers zoiets niet ondersteund.
Tweakers .... werk aan de winkel .....
[Reactie gewijzigd door een_naam op dinsdag 22 juni 2010 08:21]
Leuk dat Google https heeft, maar iGoogle heeft het weer niet. 
Op dit item kan niet meer gereageerd worden.
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
