Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 101 reacties

Apple heeft op zijn WWDC-event aangekondigd dat vanaf 1 januari 2017 alle apps in de App Store gebruik moeten maken van App Transport Security, oftewel ATS. Deze functie zorgt ervoor dat al het internetverkeer van een app via een beveiligde https-verbinding verloopt.

ATS werd geïntroduceerd in iOS 9 en moet ervoor zorgen dat ontwikkelaars gebruikmaken van veilige standaarden, zo schrijft TechCrunch. Het gebruik ervan was tot nu toe echter niet verplicht, waardoor ontwikkelaars ervoor konden kiezen om gegevens via een onbeveiligde verbinding te versturen. Daardoor ontstaat bijvoorbeeld het risico dat derden gegevens onderscheppen.

De beveiligingsfunctie maakt gebruik van tls 1.2, de opvolger van het ssl-protocol. Apple geeft aan dat dit in alle gevallen toegepast zou moeten worden, maar er zijn uitzonderingen. Soms moet een app verbinding maken met een onbeveiligd domein, bijvoorbeeld van een cdn. In dat geval moet de ontwikkelaar dat domein specifiek vastleggen.

De mogelijkheid om versleutelde https-verbindingen te gebruiken is niet nieuw en wordt door steeds meer partijen als standaard vastgelegd. Ook Tweakers maakt sinds deze week gebruik van beveiligde verbindingen.

Moderatie-faq Wijzig weergave

Reacties (101)

Onzin om nieuwsberichten over SSL te sturen? In het begin lijkt dat zo, maar denk even iets verder.

Je woont in een land waar internet vrijheid wat minder is. De regering kan zo prima mee kijken welke artikelen jij EXACT leest op een nieuws site. Doordat ze weten welke artikelen je leest kan je zo bij profilering in een bepaalde groep gestopt wordt.

Door ook deze sites over SSL te laden weten ze alleen dat je het nieuws leest, maar niet welke artikelen exact.

Ze weten dus welke krant je leest, maar niet welke artikelen. Zo sla ik altijd het sport gedeelte over, maar dat gaat verder niemand wat aan.

Ook voor het enkel consumeren van data is SSL een waardevolle toevoeging.
Ik zie dat je je in allerlei bochten aan het wringen bent met dit soort argumenten om toch maar bij de "Apple is slecht" conclusie te komen. Wat Snow_King zegt is gewoon waar: informatie die je binnenhaalt kan nu onschuldig zijn, straks mogelijk niet meer. Het gaat niemand wat aan wat jij leest en doet, er is geen excuus meer om geen SSL te gebruiken met de huidige hardware en stand van zaken online. Als ontwikkelaar heb je je zaken niet op orde als je gewoon maar zooi onversleuteld heen en weer aan het sturen bent, niet alleen voor privacy maar ook security. SSL certificaten zijn gratis en ook bij grote CA's zijn die prima betaalbaar. Apple bied geen cdn/hosting services aan voor 3de partijen dus ze verkopen ook geen certificaten.

[Reactie gewijzigd door Kura op 15 juni 2016 13:22]

Het is ook "niet altijd nodig" om je voordeur op slot te doen voor je vertrekt. Toch is dit wel verstandig om te doen. En toch ben ik nog geen voordeur tegengekomen die geen slot heeft. Je weet nooit wie er wel/niet binnen is geweest om zaken aan te passen of te stelen :+.
Het lijkt mij een goede zaak om HTTP uit te faseren en HTTPS de standaard te maken. Er zijn al genoeg andere bedrijven en organisaties die dit ook stimuleren (bijv. Google en Let's encrypt). Websites zonder HTTPS krijgen zelfs een lagere ranking bij Google search.
Apple is nu dus ook bezig dit te stimuleren en dat lijkt mij juist een goede zaak.

Hoe vaak het nu nog gebeurd dat een (zolder)ontwikkelaar zijn (gevoelige) data plain tekst over de lijn stuurt is zeker niet op twee handen te tellen. Als HTTPS verplicht wordt gemaakt zie ik alleen maar de voordelen voor de eindgebruiker en ontwikkelaars met weinig ervaring rondom security.
Ik ben het met je eens dat het niet in alle gevallen nodig is. (Als je Man in de middle aanvallen met virus/javascript injectie buiten beschouwing laat). Al is het een nieuws artikel oid dat je over de lijn stuurt. Als het te manipuleren is kan het alsnog gevaarlijk zijn.
Dit zijn natuurlijk uitzonderingen. Maar zeker niet onmogelijk. Dus lijkt mij preventie geen gek idee.
De eindgebruiker merkt er verder niets van. Of het nu encrypted is of niet.
Wat heeft dit met een zogenaamd gesloten systeem te maken? Het is gewoon tegenwoordig een ontwikkeling die al een tijdje in gang is gezet. Een ontwikkelaar moet ook zorg dragen voor de privacy en veiligheid van de gebruikers, en daar past dit prima bij.
En het verplicht stellen is de enige manier om ontwikkelaars te forceren om stappen te nemen.
Dit is juist een prima actie.

Mischien even het recente artikel lezen van Tweakers welke men recentelijk heeft geplaatst dat artikel vertelt al veel over de redenen. dan wordt de nut ook direct duidelijk.

Hier een kort artikel van Google welke ook iedereen aanraad om HTTPS te gebruiken. https://developers.google...n-transit/why-https?hl=en

Je Apple opmerkingen zijn dus onterecht.
Sterker nog, dat SSL kan (zoals eigenlijk in deze reacties wel blijkt) ook een onterecht gevoel van veiligheid geven. ‘oow er staat een slotje, deze site is veilig’.
Helaas is SSL / TSL niet synoniem met veiligheid, maar het is een minimale randvoorwaarde voor veilige communicatie.
Uiteraard blijven er altijd situaties waarin HTTPS erg weinig toegevoegde waarde heeft. Maar de reden dat Apple hiervoor kiest is denk ik voornamelijk in het belang van de eindgebruiker. Apple kan niet bij alle apps nagaan welke data er over-en-weer gestuurd wordt. Of dit nou een app van de overheid is of een simpele weer app.

Maar als eindgebruiker heb je geen idee of de gegevens die jij invoert over een HTTP of HTTPS verbinding verstuurd worden naar de centrale server, laat staat dat iemand zonder IT kennis hier uberhaupt over nadenkt. Maar door het voor iedereen te verplichten hoef je je hier als eindgebruiker geen zorgen meer over te maken, je weet 100% zeker dat alles wat jij invoert over een versleutelde verbinding je telefoontje verlaat. En dat vindt ik een zeer goede zaak van Apple.
Dus je klaagt omdat Apple verplicht om apps aan bepaalde beveiligingseisen te laten voldoen? Je klaagt omdat de gebruiker door deze verplichting eventueel veiliger is?

Vreemd.
Ik klaag omdat Apple
Dat vermoeden had ik eerder ook al bij al jouw reacties. Jij klaagt omdat Apple! Het maakt niet uit wat Apple doet of zegt, jij klaagt als Apple iets doet of zegt, zelfs als het positief is voor jou.
Het valt me erg tegen dat zo veel tweakers kennelijk denken dat het slotje betekend dat je ineens veilig bezig bent. Zo simpel is het namelijk niet. De privacy-voordelen zijn daarbij ook nog beperkt.
Pricavy en https hebben echt helemaal niets met elkaar te maken! Google doet al jaren alles via beveiligde verbindingen, en heeft daarbij lak aan jouw privacy. Alleen gelukkig voor on, houden ze al die info over ons lekker voor zichzelf, zodat ze dezelfde gegevens telkens weer te gelde kunnen maken.
Maar kennelijk is keuzevrijheid heel eng voor veel mensen.
Voor jou blijkbaar ook. Je kunt kiezen om geen Apple producten te gebruiken, om zo lekker onveilig te kunnen blijven communiceren.

Een keuze die je ook had kunnen maken, en heel duidelijk niet gemaakt hebt, is hier niet te reageren.

Keuzestress, het is me wat, beste Devata!
Maar kennelijk is keuzevrijheid heel eng voor veel mensen
Man man man :')
Dus het lijkt jou een beter idee om alle eindgebruikers voortaan lastig te vallen met een keuze tussen wel of geen SSL dan dat ontwikkelaars standaard SSL even aanzetten via een gratis certificaatje?
Ja, Voor mijn part geeft Apple verschillende veiligheids-modes die je kunt kiezen waarbij gebruik van SSL bij Apps verplicht is bij de standaard instelling. Zo heeft Facebook het gedaan met hun Facebook-Apps. Facebook gebruikt een standaard een beveiligingsinstelling waardoor Apps voor Facebook via SSL moeten draaien of ze anders worden geblokkeerd. Echter heb je de optie dat uit te schakelen.
In feite verplicht je ontwikkelaars daarmee de overstap naar SSL te maken maar zonder het echt hard te verplichten zoals Apple dat nu wilt doen. Je laat daarbij dus nog wat keuzevrijheid en echt lastig val je niemand ermee.
Al zou ik het ook prima vinden om gewoon per app te zien of hij via SSL werkt en ik zo dus de keuze kan maken of ik het wil of niet. Er zijn vast heel wat oude Apps waarbij SSL gewoon niet nodig is en die straks dus niet meer werken. Het zou fijn zijn als je die kunt uitzonderen van deze (in dat geval) onnodige verplichting.
Ik klaag omdat Apple verplicht om apps aan bepaalde beveiligingseisen te laten voldoen die lang niet altijd nodig zijn voor de veiligheid of zelfs een schijnveiligheid kunnen wekken.
Hoezo schijnveiligheid? is https meer secure dan http? Antwoord: Ja.
Het valt me erg tegen dat zo veel tweakers kennelijk denken dat het slotje betekend dat je ineens veilig bezig bent. Zo simpel is het namelijk niet. De privacy-voordelen zijn daarbij ook nog beperkt.
Niemand behalve jij roept dit overigens.. je legt de "tweakers" woorden in de mond. Ja het is veiliger, is het daarom veilig? Nee niets online is 100 veilig, dat weet iedereen inmiddels wel.
Er zijn simpelweg gevallen waarbij SSL weinig voordeel bied en ook is het zo dat SSL niet tegen alles beveiligd
moet dat dan?
Apple kreeg een pluim van mij als ze duidelijk aan gaven of een App gebruik maakt van SSL of niet. Dan is de keuze aan de eindgebruiker. Iedereen die hier nou staat te juichen kon dan simpelweg ervoor kiezen geen Apps meer te gebruiken waarbij geen SSL gebruikt werd.
Ontwikkelaars hebben dit tot op heden zelf kunnen bepalen, https wordt alleen gewoon veel te weinig geïmplementeerd. De reden hiervan is vaak gemak, jou privacy wordt nauwelijks over na gedacht door de kleinere app developers. Dit door eindgebruikers te laten kiezen is helemaal geen optie, merendeel van de mensen heeft geen idee wat http, https, ssl, tlc is, dat snap jezelf toch ook wel.
Je bent gigantisch rare argumenten aan het aanhalen om maar gewoon je ongelijk niet toe te geven, sommige mensen kan je gewoonweg geen discussie mee voeren, die weten vooraf al dat ze gelijk hebben en zijn niet van hun kaart te brengen. Jij lijkt er ook zo één te zijn :)
Maar kennelijk is keuzevrijheid heel eng voor veel mensen.
yup

[Reactie gewijzigd door Typecast-L op 15 juni 2016 20:44]

Apple gesloten?? Hahahaha... Grapjurk. En wees blij dat zij wél bezig zijn met beveiliging.
Apple gesloten? Deels wel ja. het is wel zo dat Apple de gatekeeper is van wat jij op jouw telefoon kunt installeren. Dat is aardig gesloten als je het mij vraagt. Geen naakt maar wel guns. Persoonlijk ben ik het daar absoluut niet eens.

Verder vind ik het top dat ze kwaliteitseisen stellen aan apps zoals in dit artikel.
Jij bepaalt voor mij niet hoe belangrijk ik mijn privacy vind dus ik vind het prima dat Apple het maximeert.

Als https voor een developer teveel extra rompslomp en kosten is, dan is het een prutser btw. Elke doedelzak kan gratis een ssl certificaat regelen, dat elke x tijd automatisch refreshen en als je een app kunt bouwen, wel voor http naar niet voor https, dan is er serieus iets mis met je naast dat je een prutser bent.

Als je een mening hebt, omdat je Apple een k.u.t. bedrijf vindt, prima, zorg dan wel dat je meer doet dan onzin uitkramen ;)
Elke doedelzak kan gratis een ssl certificaat regelen, dat elke x tijd automatisch refreshen en als je een app kunt bouwen, wel voor http naar niet voor https, dan is er serieus iets mis met je naast dat je een prutser bent.
Klopt deels maar als je voor je data afhankelijk bent van 3e partijen die dat niet via https ontsluiten heb je als enige optie om die domeinnaam specifiek vast te leggen in je applicatie. Dat is nog wel te doen voor een klein aantal websites maar als je toevallig iets vergelijkbaars als het probleem wat T.net had (externe content zoals usericons die niet via https op te vragen is) wil oplossen dan is het toch niet zo simpel meer. Het is niet voor niets van bij T.net het ook even geduurd heeft voor https echt actief was.

Kortom: prima dat Apple dit gaat eisen maar voor sommige apps is het allemaal niet zo simpel als het installeren van een certificaatje ;)

[Reactie gewijzigd door Myrdhin op 15 juni 2016 12:16]

Wil je dan http content naar je app laden, dan doe je dat maar via een https proxy. Werkt ook, en een stuk veiliger voor je users.
Klopt maar dat moet je dan wel weer allemaal gaan regelen. Server met https proxy installeren + het zal extra traffic geven dus meer kosten etc etc. Nogmaals: prima dat Apple dit zo doet maar om het af te schilderen als dat dit even heel simpel om te zetten is kan in de praktijk toch wat meer gevolgen hebben.
Nee, inderdaad kost zeker tijd om dit te verwerken.

Echter ben ik het er wel mee eens.
Beveiliging kan niet hoog genoeg zijn.

Ik heb bij mijn apps ook allemaal beveiligde verbindingen. Alleen tijdens het debuggen niet.
Mwah, ik ontwikkel en onderhoud zelf een paar sites en een app en een certificaat is nog geen 5 minuten werk, nginx omconfigureren voor https only is ook minder dan 5 minuten werk en een app die op basis van een ip adres contact met een server legt is om meerdere redenen niet handig opgezet dus een domeinnaam voor je server wanneer die nodig is voor een app is altijd een goed idee ;)
Ik heb het ook niet over een applicatie die contact maakt met een endpoint. Vergelijk het eens met de migratie naar https voor T.net. Stel dat ze een app hadden die ook de usericons ophaalt vanaf een willekeurige host (de gebruikers kunnen die namelijk plaatsen waar ze willen). Zonder die https proxy die T.net nu heeft opgezet zou zo'n app niet te implementeren zijn. Het heeft dus meer voeten in aarde dan simpel een certificaatje installeren en even je nginx config aanpassen. Denk ook aan het extra verkeer wat zo'n https proxy te verwerken krijgt, wat dus ook weer extra kosten zijn voor de ontwikkelaar.
Hm, ook dat is iets waar je bij goed ontwerp gewoon rekening mee houdt en ja, natuurlijk, als je dat niet doet heb je bij een switch meer werk. Maar goed, daarom is nadenken voor je iets bouwt ook gewoon een goed idee ;)
Ontzettende onzin reactie natuurlijk. Natuurlijk denk je goed na voor je iets bouwt, maar de wereld om ons heen veranderd ontzettend rap en je kunt niet met alle scenario's rekening houden. Waarschijnlijk hebben we over een paar jaar geen passwords meer, maar moet ik dan nu een klant adviseren om te investeren in een duur systeem dat nog niet overal ondersteunt wordt? Het gaat mijn inziens vooral om kosten/baten in veel gevallen en inmiddels zijn de kosten van SSL dermate laag geworden (niet gratis voor veel bedrijven, daar er aanpassingen gemaakt dienen te worden) dat de baten vele malen hoger zijn. Maar het is voor veel bedrijven best een uitdaging om over te schakelen op https en zeker geen 5 minuten werk in het voorbeeld dat jij schetst.
Nee dat is echt onzin. Er voor zorgen dat paden/locaties van bestanden etc niet hardcoded zijn, heeft niks te maken met een verandering naar ssl, dat is iets wat je om te beginnen gewoon doet, als je nadenkt;-) En dat heeft ook niks met passwords te maken. Dat heeft te maken met gewoon nadenken. En dat het voor veel bedrijven zo'n uitdaging is zegt meer over de kennis waar ze over beschikken en hoe goed ze nagedacht hebben voor ze iets gebouwd hebben cq hebben laten bouwen, dan over hoe moeilijk het is;-)
"Jij bepaalt voor mij niet hoe belangrijk ik mijn privacy vind dus ik vind het prima dat Apple het maximeert." Vooral dat "Jij" is leuk.. Want dat is nou precies het probleem. Nu bepaald iemand anders (Apple) dus juist wel dingen voor jou in plaats van dat je die keuze zelf maakt.
Nee, ze bepalen niets voor mij als eindgebruiker, ze bepalen dat de ontwikkelaars https moeten hanteren. Ik als eindgebruiker ga er niets van merken behalve dat ik een tikkie veiliger online zit.
Nee ik bepaal niet voor jou hoe belangrijk jij jou privacy vind, daarom ben jij ook vrij om te kiezen welke App je installeert en welke niet. Ik verplicht jou daar niet toe.
Als een app er voor kiest om http te gebruiken en er is geen alternatief, dan verplichten ze mij om 1. de app niet te installeren of 2. http gebruiken. Nu kiest Apple simpelweg om het veiligere https te gebruiken. Wat is daar nou mis mee? Je doet net alsof het erg is dat security omhoog gaat omdat het wat extra werk voor de ontwikkelaars oplevert. Ik juich dit enkel toe!
Overigens geef dit wel weer aan dat het een schijnveiligheid geeft. Jij gaat er namelijk kennelijk vanuit dat SSL jou privacy beschermt. Echter is dit lang niet altijd het geval, en juist in zo'n gevallen waar het niet het geval is vindt ik het dan dus ook onzinnig om het te verplichten.
Waarom niet? wordt het er slechter van? Nee.
Sommige Apps zullen niet meer werken daarbuiten wordt het er inderdaad niet slechter van, maar ook niet altijd beter.
Heel grappig want als jij minder waarde hecht aan privacy is hij beter beschermd dan je persé wilt en dat is toch echt de betere van de twee opties waarbij de andere is dat je standaard minder veiligheid hebt.

Dat het schijnveiligheid is, is een beetje onzin want de meeste mensen beginnen met veilig zijn omdat security by obscurity, veilig omdat 'niemand' weet dat je bestaat, de eerste is en stapel daar ssl bovenop, dan moet iemand best wat moeite doen voor iets dat niet veel waard is om inbreuk op je privacy te maken door snooping;-)

En jij mag het onzinnig vinden om het te verplichten, ik vind het onzin om dat niet te doen, temeer dat dit past bij andere maatregelen die Apple genomen heeft, neemt en nog in de planning heeft staan. Dit is gewoon een verantwoorde zet.
Gast, wat je doet is gewoon zeiken om het zeiken. Geluk er mee :)
Jahoor dat mag je, maar dat gaat toch niet gebeuren. Het merendeel van de apps zullen ruim van te voren aangepast zijn. Die paar apps waar dit vergeten wordt zullen het misschien niet doen , let jij maar eens op hoe hard men kannwerken als ze er achter komen dat hun app ineens niet meer werkt of gebruikt wordt. Een week later werken de apps ineens wel.
Hahaha over de rooie? Je mening is gewoon een beetje overtrokken onzinnig de merkwaardige kant op principieel om het hebben van principes en nou je dit laatste zegt, heeft het er nog de schijn van dat je het leuk vind om Apple fanboys te f-cken ook ;-)
Tja van alle mensen hier ging jij toch het meest over de rooie. En kijk al dat weg-voten dan.

Kom niet aan Apple. Als ik het zelfde zou hebben gezegd over Microsoft (en dat zou ik.. sterker nog, dan was ik er nog feller over omdat ik dit soort gedrag van Apple verwacht, niet van Microsoft) zou er echt heel anders zijn gereageerd.

Overtrokken onzinnig...? Tja moeten nog zien wat de inpakt is, maar ik verwacht dat dat nogal eens kan gaan tegen vallen.

Het zijn ook juist dit soort dingen waarom ik geen Apple producten heb.. Dat gaat natuurlijk vele verder dan dit ene regeltje, maar gewoon hun geheel afgesloten eigen ecosysteem. Daar hebben sommige mensen geen enkel probleem mee, andere wel. Dat is niets nieuws onder de zon, of wel soms?

Geen idee op welke manier ik dan 'Apple fanboys wil pakken', volgens mij is het toch echt Apple die dit beleid uit voert. Ik zeg alleen dat is het slecht vind (want vaak genoeg onnodig). En ja, als nu iedereen hier zo massaal daar tegenin gaat, en het blijkt toch negatief uit te pakken straks.. vind je de "I told you so" reactie dan echt zo raar?
Nee nee, lezen is een kunst. Apple fanboys f-cken is iets anders dan pakken. Je argumentatie voor wat je zegt is flawed, het is principieel doen om het hebben van principes en wat jij van Apple of Apple gebruikers vindt laat me koud. Dat je onzin als waarheid poneert vind ik merkwaardig en benoemenswaardig. Dat jij er een drama van maakt en je elke keer weer met flawed logic verder het onzinpraatmoeras in helpt, wens ik je gewoon niet toe.
"Apple fanboys f-cken is iets anders dan pakken." het is maar een woordkeus nietwaar.

"Je argumentatie voor wat je zegt is flawed"
Wat zeg ik? Het is minder keuzevrijheid (feit) het is lang niet altijd nodig (feit). Klopt gewoon.

"Wat jij van Apple of Apple gebruikers vindt laat me koud." Kennelijk niet, want je maakt er nogal een groot punt van. Je komt erg aanstellerig over.

"Dat je onzin als waarheid poneert vind ik merkwaardig en benoemenswaardig." Nou zeg je eerst dat mijn argumentatie flawed is, en nu dat in onzin als waarheid deponeer (beide onzin die jij als waarheid deponeert) maar je zegt niet wat ik dan zeg dat onzin is en waarom dat zo is.

"Dat jij er een drama van maakt en je elke keer weer met flawed logic verder het onzinpraatmoeras in helpt, wens ik je gewoon niet toe." En nu nog een keer maar nog altijd geen inhoud. Sorry hoor maar jij lijkt hier juist de echte typische fanboy die geen enkele kritiek op het product / merk kan verdragen waar hij fan van is.

Je bent duidelijk op je tenen getrapt, komt zelf met onlogische logica bijvoorbeeld "als jij minder waarde hecht aan privacy is hij beter beschermd dan je persé wilt " terwijl ik nergens zeg dat ik minder waarheid aan privacy hecht, maar ik juist zeg dat SSL niet altijd meer veiligheid en privacy geeft. En gaat vervolgens dan maar over tot opmerkingen als "je praat onzin", "heeft het er nog de schijn van dat je het leuk vind om Apple fanboys te f-cken", "wat je doet is gewoon zeiken om het zeiken" enz.

Kalmeer eens een beetje, dit is slecht voor je bloeddruk. Misschien voel je je gesterkt door mede fanboys die me minnetjes geven, maar helaas veranderen die minnetjes niets aan mijn gelijk dan wel ongelijk.

Apple is maar een product, dit is maar een beleid. Sommige mensen vinden het goed, andere vinden het slecht. Ik heb mijn redenen ervoor gegeven (die gedeeltelijk op feiten berusten en gedeeltelijk op een persoonlijke voorkeur / mening). Daar mag je het mee eens zijn en je mag het ook oneens ermee zijn. Maar maak er niet zo'n punt van. Juist types als jij bezorgen de Apple gebruikers een slechte naam. Wat dat betreft ben juist jij nu de Apple fanboys aan het f-cken.
Hahaha dank voor je zorgen en je lijkt je gewoon niet te beseffen dat als jij je als kenner voordoet, daar een verantwoordelijkheid bij past. Onzin uitkramen is iets heel anders. Succes
Die verantwoordelijkheid is niet om onnodige regels toe te juichen.
De software ontwikkelaar die de app had gemaakt, had sowieso al voor end to end encryptie moeten zorgen. Al is het niet voor Apple, maar voor Google, die je lager in search rankings zet als je geen SSL ondersteunt.

Los daarvan zou er een end-to-end encryptie wet moeten komen vanuit de overheid. Die end-to-end encryptie gewoon verplicht zou moeten maken. Kijkend naar communicatie en briefgeheim.
Maar natuurlijk, laten we nog meer verplichten.. ook nog wettelijk, wat is het toch met mensen en de angst voor vrijheid? Gewoon eng om te weten dat zo veel mensen in Nederland daar bang voor zijn. Daarbij is het briefgeheim voorbeeld ook foutief. Want (en weer herhaal ik me) lang niet alle data over je internet-lijn bevat dat soort privacygegevens.

Laten we jou voorbeeld van post pakken. Iemand roept een nieuws-site op of iemand krijgt een krant in de bus. Sints wanneer wordt die krant zo verpakt dat je niet kan zien welke krant die persoon krijgt? Dat gebeurt dus niet.

Ja een brief wordt meestal in een dichte envelop verstuurd, er zijn dus gevallen waarbij je het afgeschermd wilt hebben, en gevallen waarbij dat niet zo nodig is. Eigenlijk is het dus wel een mooi voorbeeld, maar dan om juist aan te tonen dat het niet altijd nodig is en de verplichting ervoor dus ook overdreven is.
Devata het is niet voor de angt voor de vrijheid. Maar om de ombekwaamheid van de gros van de programmeurs. Programmeurs zijn vaak onwetend en onbekwaam hoe ze data net iets beter kunnen beveiligen. Ook kan je nauwelijks controleren of applicaties goed met je gegevens om gaan. De gemiddelde app stuurt je inlog en paswoord rustig oversleuteld het lijntje over. Het gaat er gewoon om dat mensen respectvol met je data om moeten gaan.

[Reactie gewijzigd door xTmPizzaMan op 17 juni 2016 19:14]

Ik gaf dan ook al aan dat ik Apple een pluim zou geven als ze in plaats van deze verplichting, het duidelijker zouden maken of een App via SSL werkt of niet.
Als ontwikkelaars gewoon zelf na zouden denken zou zo'n verplichting helemaal niet nodig zijn geweest.
Er is een standaard framework die je ook al toepast voor http protocol, die paar extra regels dat kost je amper een dag extra werk.

"mijn grootste probleem met Apple is altijd al hun gesloten systeem geweest"
OSX (Darwin Project, FreeBSD) is niet bepaald een gesloten systeem ...

[Reactie gewijzigd door BoringDay op 15 juni 2016 21:38]

Het probleem is hierbij dat SSL ceriificaten gewoon te duur zijn, ook voor een simpele site. Dat zware encryptie voor banken sites duur is, prima, maar voor simpele prive sites moet dat gewoon gratis of heel goedkoop zijn.
Initiatieven als Lets Encrypt zijn prima maar zijn nog veel te veel in beta stadium.
Het probleem is hierbij dat SSL ceriificaten gewoon te duur zijn, ook voor een simpele site. Dat zware encryptie voor banken sites duur is, prima, maar voor simpele prive sites moet dat gewoon gratis of heel goedkoop zijn.
Inmiddels liggen die prijzen al onder de EUR 10,- per jaar dus dat valt reuze mee.
Initiatieven als Lets Encrypt zijn prima maar zijn nog veel te veel in beta stadium.
Er zijn anders toch al aardig wat sites die prima met Let's Encrypt certificaten draaien, waaronder sinds kort ook T.Net.
Google 's op 'Cheap ssl certificate'....
1e hit: https://cheapsslsecurity.com/
GeoTrust en Comodo zijn leveranciers van goedkopere certificaten. Bij bijvoorbeeld Xolphin kan je die aanschaffen voor respectievelijk 10 en 8 Euro voor een DV certificaat. En ga je voor meerdere jaren dan ben je nog goedkoper uit.

Wil je dat groene balkje (i.e. een EV cert) dan betaal je wel een stuk meer maar dat heeft een ontwikkelaar van een simpele app echt niet nodig. Zelfs voor wildcards betaal je niet meer de hoofdprijs tegenwoordig, voor rond de EUR 75,- ben je klaar.
SSL certificaten zijn al een tijdje gratis te krijgen. ;)
Google stelt secure verbindingen ook verplicht, ook voor gewone, niet ingelogde, zoekopdrachten. Android gaat dezelfde kant op als iOS qua security. Het is een noodzakelijke trend!
Dus iemand die een App wilt maken moet buiten de aanschaf van Apple apparatuur en een Apple ontwikkelaars licentie nu ook nog een SSL-certificaat aanschaffen. Wat een onzin weer.
Het gaat hier om verwaarloosbare bedragen, als het ontwikkelen van je app op een paar duizend euro vast zit moet je er niet aan beginnen.
Als je ergens moet gaan inloggen en of privé data verstuurd is het wel goed.
En hoe gaat Apple bepalen of een app wel of geen prive data verstuurd? Dat is onbegonnen werk. Tegelijkertijd verwacht de gebruiker wel van Apple dat ze alleen veilige apps toelaten.

Belangrijker: alle argumenten tegen SSL - met name kosten en overhead - zijn inmiddels verholpen. Er staat app developers dus niets meer in de weg om gewoon het zekere voor het onzekere te nemen.
Ik heb mij al vaak afgevraagd welke apps hun verkeer via HTTPS laten lopen en welke niet. Is er ergens een overzicht hiervan te vinden?

Met name populaire apps zoals Facebook, Instagram, Snapchat, ... ben ik wel benieuwd naar.

[Reactie gewijzigd door breezie op 15 juni 2016 10:08]

Er zal geen overzicht zijn die dit aangeeft maar je kunt het zelf wel achterhalen. Als je op jouw computer een fiddler proxy installeert en die instelt op jouw mobiel, zie je al het verkeer dat door jouw telefoon heen loopt. Je kunt dan letterlijk zien dat Facebook bijvoorbeeld verbinding maakt via HTTPS.
Inderdaad een optie, alleen had ik gehoopt dat iemand anders dat werk al voor mij had gedaan :+
Dat kan je met Google natuurlijk vrij eenvoudig vinden. Van de grote apps kan je er half van uit gaan dat ze wel HTTPS gebruiken. Soms hebben ze hier en daar een stom foutje gemaakt dat bepaalde API's nog via HTTP aangeroepen worden. Van de kleinere apps en homebrew types is het nooit helemaal zeker wat ze in elkaar geklungeld hebben, kan HTTP zijn, kan HTTPS zijn. Kan ook zijn dat de ontwikkelaar het niet eens weet en een of andere plugin gebruik maakt van HTTP zonder TLS of SSL.
Kortom, je weet dus niets.
Enkel middels monitoring kom je erachter.
Als je wat doorzettings vermogen hebt kun je wireshark installeren en zo je hele wifi verkeer capturen. Als je vervolgens de tijd neemt om dan alle packets af te gaan kom je vanzelf wel tegen welk verkeer encrypted is en welk verkeer niet.

Zo ver ik weet is er geen compiled resource waar alle apps in gesorteerd staan nee,
dus de bovenstaande suggestie zou moeten werken als je echt vragen hebt bij een bepaalde app. (bankieren app bijvoorbeeld, maar ik ga er van uit dat deze hoe dan ook https gebruikt voor hun eigen bestwil)
Bij Instagram gaat alles behalve de foto's zelf over SSL. (Dit geld voor de apps. Op de website gaan de foto's wel over SSL omdat de browser anders gaat zeuren.)
Goede zaak inderdaad. Hopelijk maakt Apple wel een betere voorziening voor in-home IoT zodat er geen workarounds meer nodig zijn om specifieke excepties te defineren voor devices zonder (FQ)DN.
Heel netjes. Je merkt dat zelfs in deze tijd nog veel te veel applicatie(ontwikkelaar)s er veel te licht mee omgaan. Zonder enige schroom wordt naar huis gepingt over http, spullen gedownload, scores gecheckt.

Vooral de cheap-ass spelletjes met veel advertenties en een vlug verdienmodel doen alles over http. Van die raad-je-plaatje rommel.

Blij dat dat afgelopen is. Scheelt ook weer een attack vector.
Ik vraag me wel het volgende af nu: in mijn apps is de verbinding naar de API al ruim een jaar via HTTPS, alleen de content van derden is via http. Dit zijn allemaal plaatjes van wel honderden verschillende domeinen. Dit wijzigt ook regelmatig dus ik kan die niet allemaal whitelisten. Nu wordt het dus tijd om deze zomer net als tweakers een proxy te ontwikkelen?

Verder een zeer goede ontwikkeling dit :) Er is absoluut geen reden meer om tegenwoordig geen HTTPS meer te gebruiken. Vooral met HTTP/2 zijn er alleen maar voordelen.

[Reactie gewijzigd door Erulezz op 15 juni 2016 10:50]

Volgens mij staat het in de tekst:
maar er zijn uitzonderingen. Soms moet een app verbinding maken met een onbeveiligd domein, bijvoorbeeld van een cdn. In dat geval moet de ontwikkelaar dat domein specifiek vastleggen.
Of beschrijf jij een ander scenario?
Ik kan alle domeinen wel gaan vastleggen in de app zelf, maar dan is het hele dynamische van de app weg. De app is een lijst met duizenden webcams en die webcams staan gehost op honderden verschillende domeinen. De data (= informatie en een lijst met items) wordt gewoon opgehaald via HTTPS. Alleen het daadwerkelijk ophalen van de content (de afbeeldingen) worden gedownload van diverse domeinen. Sommige hebben wel HTTPS, de meeste niet.

Ben benieuwd hoe het whitelisten werkt, vanavond eens uitproberen. :)
Ik vermoed een proxy. Lijkt me sowieso een goed idee zodat je de performance van je app geheel in eigen handen houdt.
Hopelijk komt er een mogelijkheid om dit uit te zetten voor http requests naar lokale ip addressen (192.168.X.X / 10.X.X.X / 172.16.X.X)

Anders is er een grote kans dat apps die met dlna/upnp/.. devices communiceren niet meer gaan werken, want je kan namelijk zelf geen https configureren op veel van die device
Is dat niet op te lossen via:
maar er zijn uitzonderingen. Soms moet een app verbinding maken met een onbeveiligd domein, bijvoorbeeld van een cdn. In dat geval moet de ontwikkelaar dat domein specifiek vastleggen.
ik vrees van niet.

zie ook deze thread: https://forums.developer.apple.com/thread/6205 (de laatste posts zijn van nu, de rest is van vorig jaar)
Ik heb hier voor mijn eigen apps al zorg voor gedragen en vond het buitengewooon eenvoudig te realiseren. Zelfs voor bronnen die geen HTTPS ondersteunen (of bv alleen in de betaalde versies) is het makkelijk te doen door dit soort requests via je eigen domain met SSL certificaat te laten lopen. Een PHP scriptje van 10 regels is daar voldoende voor.
Ik vind dit een goede zaak. Niet alleen omdat het allemaal wat veiliger wordt, maar ook om kleinere ontwikkelaars die daar nu laks in zijn - terwijl ze vaak wel spelen met persoonsgegevens van anderen - nu ook maatregelen moeten treffen.

Veel goede ontwikkelaars doen het per definitie al via SSL, en toch zie je vaak ontwikkelaars met apps waar je een profiel achter laat, of iets qua jouw persoon, en dat soort apps moeten dit gewoon hebben; klaar.
Goede zaak! Ik probeer onveilige WiFi netwerken te vermijden, maar heel soms ontkom je er niet aan. Dan is het een prettig idee dat apps op de achtergrond via TLS werken.
Bij de nieuwe software releases van Apple krijg je ook een melding als je probeert te verbinden met een onveilig netwerk :)
Dat is ook wel goed want veel gebruikers zijn zich er niet van bewust dat WiFi vaak onveilig is.

Normaal verbind ik op elk netwerk dat niet van mij is met mijn VPN server, maar dat heeft het laatst begeven en nog geen tijd gehad voor een herinstallatie.
Bij de nieuwe software releases van Apple krijg je ook een melding als je probeert te verbinden met een onveilig netwerk :)
Dat is heel fijn voor Orthodroom:
Ik probeer onveilige WiFi netwerken te vermijden, maar heel soms ontkom je er niet aan.
"Waarschuwing: Dit is een waarschuwing over iets dat je al weet." Overigens doet Android dit ook al een tijdje.

Een beetje tweaker heeft natuurlijk thuis een (Open)VPN server staan waar al het (internet)verkeer heen gestuurd wordt. Zo ben je niet afhankelijk van de morele waarden van degenen die je wifi verkeer af kunnen luisteren en van de partij die het access point en infrastructuur tot het Internet beheert.

Het is alleen jammer dat zoiets niet gebruiksvriendelijk voor normale gebruikers is op te zetten. Apple zou standaard iets van een VPN via haar eigen servers aan kunnen bieden (met een duidelijke opt-in/opt-out), hoewel dat met zoveel toestellen wereldwijd best wel eens prijzig zou kunnen zijn.

HTTPS is niet zomaar te verplichten voor alles. Gelukkig zijn er steeds meer initiatieven om serverbeheerders over te halen: in Google krijgt de site een bonus m.b.t. search ranking, en bij Apple is het nu in ieder geval verplicht voor applicaties.

[Reactie gewijzigd door The Zep Man op 15 juni 2016 10:26]

Het is ontzettend prijzig als een bedrijf dat moet doen. Helemaal als je snelle verbinding wilt. Je moet dus het verkeer van 100 miljoenen gebruikers door eigen servers leiden. Niet echt een optie lijkt me. Tevens word internet dan nog veel meer belast. Alle verkeer gaat twee keer over internet.
Het is ontzettend prijzig als een bedrijf dat moet doen. Helemaal als je snelle verbinding wilt.
Apple 'moet' niets in mijn suggestie. Ze kunnen dat aanbieden als een optie. En laten we eerlijk zijn: voor de meeste applicaties (veredelde websites verpakt als 'apps') hoeft de verbinding niet supersnel te zijn.

Over schaalbaarheid: je kan natuurlijk een VPN point kiezen dat dicht in de buurt is, in combinatie met dat je het alleen voor onbeveiligde verbindingen doet. Het aanvalspunt van afluisteren is vaak dichter bij de gebruiker dan in de netwerkinfrastructuur van een bedrijf, tenzij we praten over regeringen. Daarom dat beveiligde verbindingen natuurlijk de voorkeur hebben op de voorgestelde VPN oplossing.
Apple zou standaard iets van een VPN via haar eigen servers aan kunnen bieden (met een duidelijke opt-in/opt-out), hoewel dat met zoveel toestellen wereldwijd best wel eens prijzig zou kunnen zijn.
Lijkt me buitengewoon onverstandig en gaat ook tegen het beleid in van Apple, namelijk dat ze juist proberen om niet eens bij jou data te KUNNEN komen al zouden ze het willen.

Als jouw telefoon via een vpn met Apple verbindt, is Apple dus in de positie om af te luisteren wat er langskomt op elk niet-versleuteld verzoek wat over het vpn loopt. Dan zou een veiligheidsdienst naar Apple kunnen gaan met een dwangbevel om het verkeer van persoon X af te tappen.
Lijkt me buitengewoon onverstandig en gaat ook tegen het beleid in van Apple, namelijk dat ze juist proberen om niet eens bij jou data te KUNNEN komen al zouden ze het willen.
Daarom een opt-in, en mogelijk alleen voor verbindingen die sowieso al onveilig zijn. Waar zijn er meer kansen voor aanvallen, een onbeveiligde HTTP verbinding over iemand anders zijn lokale infrastructuur (waar ook injectie kan plaats vinden) of bij een bedrijf? Over het algemeen vinden actieve aanvallen op het Internet niet in-transit plaats, maar juist bij toegangspunten die dichter bij de gebruiker liggen (bijvoorbeeld een geïnfecteerde router).
Als jouw telefoon via een vpn met Apple verbindt, is Apple dus in de positie om af te luisteren wat er langskomt op elk niet-versleuteld verzoek wat over het vpn loopt. Dan zou een veiligheidsdienst naar Apple kunnen gaan met een dwangbevel om het verkeer van persoon X af te tappen.
Het originele idee was ook een lapmiddel tegen aanvallen anders dan overheden. Wat Apple nu doet is natuurlijk veel beter, maar dat had allang al geïmplementeerd kunnen worden.

[Reactie gewijzigd door The Zep Man op 15 juni 2016 15:17]

Juist voor openbare en/of onveilige WiFi netwerken heb je de mogelijkheid om een VPN te gebruiken. Daarmee kun je de transport van data over een onveilig of openbaar gedeelte in ieder geval zelf afdwingen. Los daarvan juich ik deze ontwikkeling toe.
In mijn optiek is open hetzelfde als onveilig want iedereen kan meekijken

En wat VPN betreft ben ik het wel met je eens.

[Reactie gewijzigd door Orthodroom op 15 juni 2016 10:43]

"Moet je gewoon even"

Die formulering gebruiken mensen doorgaans voor dingen die juist niet voor de hand liggen.

Het configureren, beheren en troubleshooten van een VPN-server is voor de overgrote meerderheid van de bevolking een uitdaging buiten hun vermogen en interesse.
Open wifi is net zo veilig en open als het voedsel van een buffet, men kan er in spugen of met de vingers er in zitten en de volgende schept gewoon ongemerkt eten op.

Hoe meer mensen er op kunnen hoe groter de kans voor onveiligheid, denk bijvoorbeeld aan mensen met port scanners, packet sniffers, virussen die verspreid worden van een besmet apparaat, of natuurlijk het ergste een mitm attack . Met een beveiligde wifi verbinding zal dit niet zo snel gebeuren.
Wat betekend dit voor Ios devices die draaien op een oude Ios versie en niet meer kunnen upgraden? Dat de oude versie van apps ook definitief de nek omgedraaid worden en je het device dus naar de prullenbak kan verwijzen?
Nee. De oudere versies heb immers ook gewoon HTTPS support.
Bij iOS 9 is ATS ook al geïntroduceerd, maar het werd pas afgedwongen vanaf het moment dat je als ontwikkelaar een build publiceerde na de releasedatum van iOS 9. Apps die in de app store dus niet bijgewerkt zijn sinds die datum, hebben er geen "last" van. Uiteraard kon je daarna nog op HTTP blijven door de plist aan te passen, dat is met deze aankondiging dus ook niet meer mogelijk dat kan nu nog steeds, maar volgens mij is het niet meer volledig uit te schakelen (enkel domeinen whitelisten).

Ik veronderstel dat ze hetzelfde mechanisme voor iOS 10 toepassen, anders zouden er heel wat apps problemen kunnen krijgen.

Ik kan de maatregel wel enkel toejuichen voor de gebruiker. Je krijgt geen inzicht of een app secure verkeer gebruikt of niet. Maar op deze manier ben je er zeker van dat nieuwe apps altijd HTTPS gebruiken.

[Reactie gewijzigd door Hobbles op 15 juni 2016 12:52]

Dat zijn toestellen ouder dan de iphone 5 en de iPad 3 denk ik? Er zal wel een moment komen dat die problemen krijgen, of ze krijgen een versie uitgeleverd waarin dit wel is toegestaan. Ik zou niet direct van het ergste scenario uitgaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True