Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome gaat loginpagina's die geen https gebruiken als onveilig markeren

Vanaf Chrome versie 56 gaat Google websites die wachtwoorden en betalingsgegevens doorsturen als onveilig aanduiden als deze geen https gebruiken. Versie 56 moet in januari 2017 uitkomen. Op den duur wil het bedrijf alle niet-https-sites als onveilig bestempelen.

Chrome gaat vanaf dan rechts naast het informatietekentje in de browserbalk 'Not secure' of 'Niet veilig' weergeven. Op dit moment is de indicatie van een http-pagina nog neutraal schrijft het Security-team van Google op een blog. Bij het weergeven van pagina's met een beveiligde verbinding wordt er een groen slotje weergegeven in de browserbalk.Google had al eerder het plan om een niet-https-pagina als onveilig weer te geven door middel van een slotje met een groot rood kruis erdoor. Dit zou al begin 2016 ingevoerd worden, iets wat tot nu toe niet gebeurd is. Sinds Google startte met zijn kruistocht tegen http-verbindingen zou onlangs een mijlpaal behaald zijn, namelijk meer dan de helft van alle sites die via de desktopversie van Chrome laden, zouden via een https-verbinding geserveerd worden.

De reden dat Google een duidelijker waarschuwing wil geven, is omdat mensen gewend raken aan waarschuwingen en ook het veilige slotje al vaak over het hoofd zien en er niet meer over nadenken. In eerste instantie zal via de normale Chrome-browser alleen een waarschuwing te zien zijn bij pagina's waar gevoelige gegevens ingevoerd moeten worden, maar uiteindelijk wil het overal een waarschuwing tonen. Als de browser in privémodus gebruikt wordt verschijnt vanaf Chrome 56 wel bij elke niet-https-pagina een waarschuwing.

Uiteindelijk moet het er zo uit komen te zien

Door Krijn Soeteman

Freelanceredacteur

08-09-2016 • 18:46

102 Linkedin

Reacties (102)

Wijzig sortering
Hoewel dit idee op zichzelf niet gek is, zitten er wel wat haken en ogen aan. Het zorgt er bijvoorbeeld ook voor dat al je thuisapparatuur die je via een webbrowser kan bedienen over geldige SSL-certificaten moet gaan beschikken (want in ongeldig certificaten worden nog harder afgestraft).

En dat is niet iets dat je eventjes regelt. Want waar halen die apparaten (je modem, tv, AV-receiver, koffiezetter, wasmachine, ...) die certificaten vandaan? Van letsencrypt? Hebben ze daar uberhaupt wel de rekenkracht of geheugenruimte voor? Of voor ssl zelf? Nog los van het feit dat letsencrypt een publiek toegankelijke website verwacht...

[Reactie gewijzigd door ACM op 8 september 2016 19:41]

Het zorgt er bijvoorbeeld ook voor dat al je thuisapparatuur die je via een webbrowser kan bedienen over geldige SSL-certificaten moet gaan beschikken

Waarschijnlijk zal het niet voor intra-net gelden. Zo wordt certifciaat-pinning bijvoorbeeld ook uitgeschakeld bij Chrome voor intra-net ivm anti-malware proxies.
Ik krijg anders wel een melding van Chrome dat de boel niet te vertrouwen is als ik op mijn router in wil loggen.

Gelukkig kan ik daar zonder te klikken voorbij door "badidea" te typen in dat venster. Was eerst "danger" volgens mij.
of je zet al je slimme aparaten achter een reversy proxy (bv nginx) en je laat die dan de https verbindingen afhandelen. Uiteraard is dat niet zomaar voor elke thuisgebruiker even te regelen, maar het kan wel. Er zal dan wel ergens een slimmerik zijn die een embedded device (een RPI?) op de markt brengt die een reverse proxy aan boord heeft en waar je met een (over https :p) webpagina kan instellen voor welke interne, niet https verbindingen hij wel httpd moet aanbieden. Niet zo erg moeilijk, gezien de hoge graad van automatisatie die letsencrypt heeft...
Ze zullen wel kijken of er een html input field van het password type aanwezig is. Dus deze melding zal niet enkel op login pagina's gelden maar uiteraard ook op change password pagina's.
Dat ze dit doen op een login-pagina kan ik best begrijpen inderdaad, alleen maar goed. Maar dat ze ook het voornemen hebben om dit op ten duur op alle http-pagina's te doen, staat me niet zo aan. In ieder geval in de vorm die ze hierboven beschrijven, 'niet veilig'. Zometeen denkt men nog, als ze een simpele portfolio-site (in http, zonder login o.i.d.) bezoeken en daar staat 'Niet veilig' met een rood uitroepteken, dat hun computer door die website geinfecteerd kan worden door een of ander virus. Want ja, he, het is 'niet veilig'. Vraag me af hoe goed dat uit gaat pakken...

> "Kijk, hier staat 'niet veilig'. Moet ik het dan wegklikken?"
< "Ja nee, er staat wel dat het niet veilig is, maar het is wel veilig."
> "Oh..."
Eh, https gaat allen of de verbinding veilig is. Of de website veilig is zegt het helemaal niets.

Identificeren? Je weet nog steeds niet wie achter de site zit. Alleen dat het verkeer niet omgeleid is door een derde partij.

[Reactie gewijzigd door leuk_he op 8 september 2016 19:33]

En zo kunnen we nog even doorgaan. Bottom line is dat Google de baas van het internet is inmiddels. Website eigenaren moeten Google volgen of anders de gevolgen dragen.
Dat klopt wel zo'n beetje.

Maar toch is het minder erg dan je denkt. Er is namelijk ruimte voor concurrentie en er is keus. En mensen die Google gevolgd hebben zullen denk ik ook wel gezien hebben dat ze een beetje arrogant aan het worden zijn daar. En hoe raar ook, het is die arrogantie die ook tot de correctie zal leiden.

Chrome is een fijne browser maar je kunt switchen. Op Google Search kun je goed zoeken, maar je kunt ook switchen naar Bing bijvoorbeeld. En dat doe ik dus de laatste tijd steeds vaker. Ik heb gemerkt dat Google soms wel erg veel bias heeft voor hun eigen diensten. Tot op het punt dat ze doodleuk melden dat er geen resultaten zijn als ik hun eigen dienst wegdruk (-youtube toevoegen)... Ga ik dan naar Bing vind ik honderden... wat? duizenden resultaten die Google me niet liet zien. Dus ja ik switch de laatste tijd vaker. En dat kan nog steeds. Gelukkig.
Reclame injectie, malware injectie, redirects, analyse door je ISP of provider, ongewilde buffering of downscaling van plaatjes, etc. Wordt allemaal voorkomen.

HTTPS heeft veel voordelen ook voor een gewone website.

Maar met HTTP 2.0 gaan we daar toch heen, want de non-TLS variant bestaat welliswaar op papier maar geen van de grote techbedrijven heeft aangegeven dit te gaan ondersteunen.
Om meerdere domeinen op een server te kunnen draaien met HTTPS wordt veel gebruik gemaakt van SNI en dan kun je wel degelijk het domein zien.
Ben bang dat je mensen hier toch op het verkeerde been zet. Bij zowel NPN en ALPN is de domeinnaam te achterhalen. Bovendien is ALPN min of meer verplicht aan het worden omdat je anders geen TLS False Start en andere optimalisaties kan gebruiken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True