Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome gaat loginpagina's die geen https gebruiken als onveilig markeren

Vanaf Chrome versie 56 gaat Google websites die wachtwoorden en betalingsgegevens doorsturen als onveilig aanduiden als deze geen https gebruiken. Versie 56 moet in januari 2017 uitkomen. Op den duur wil het bedrijf alle niet-https-sites als onveilig bestempelen.

Chrome gaat vanaf dan rechts naast het informatietekentje in de browserbalk 'Not secure' of 'Niet veilig' weergeven. Op dit moment is de indicatie van een http-pagina nog neutraal schrijft het Security-team van Google op een blog. Bij het weergeven van pagina's met een beveiligde verbinding wordt er een groen slotje weergegeven in de browserbalk.Google had al eerder het plan om een niet-https-pagina als onveilig weer te geven door middel van een slotje met een groot rood kruis erdoor. Dit zou al begin 2016 ingevoerd worden, iets wat tot nu toe niet gebeurd is. Sinds Google startte met zijn kruistocht tegen http-verbindingen zou onlangs een mijlpaal behaald zijn, namelijk meer dan de helft van alle sites die via de desktopversie van Chrome laden, zouden via een https-verbinding geserveerd worden.

De reden dat Google een duidelijker waarschuwing wil geven, is omdat mensen gewend raken aan waarschuwingen en ook het veilige slotje al vaak over het hoofd zien en er niet meer over nadenken. In eerste instantie zal via de normale Chrome-browser alleen een waarschuwing te zien zijn bij pagina's waar gevoelige gegevens ingevoerd moeten worden, maar uiteindelijk wil het overal een waarschuwing tonen. Als de browser in privémodus gebruikt wordt verschijnt vanaf Chrome 56 wel bij elke niet-https-pagina een waarschuwing.

Uiteindelijk moet het er zo uit komen te zien

Door Krijn Soeteman

Freelanceredacteur

08-09-2016 • 18:46

102 Linkedin

Reacties (102)

Wijzig sortering
Ik krijg anders wel een melding van Chrome dat de boel niet te vertrouwen is als ik op mijn router in wil loggen

Omdat routers doorgaans een self-signed certifciaat serveren over de HTTPS site. Log je in op HTTP zal Chrome geen melding geven. En ik voorspel dat dat zou zal blijven op intra-net.
Natuurlijk zou het beter zijn als dat soort "IoT"-apparaten ook allemaal goed beveiligd worden. Maar het is wel heel lastig om fatsoenlijke en actuele SSL-certificaten te regelen als er vaak niet eens een domeinnaam aan het specifieke apparaat wordt gekoppeld.

Het gaat nog lang duren voor dat dat allemaal geregeld is, als het ooit gebeurd.
Self-signed certificaten die je zelf als vertrouwd installeert in de credentials vault van je browser of OS. Niets moeilijks aan en is hoe dit al jaren werkt.
Misschien overbodig om te zeggen, maar zelfs met HTTPS kan een ISP zien welke sites je bezoekt. Niet de exacte URL, maar zeker wel de hostname.

Vergeet niet dat ISP's ook gewoon de DNS servers en het DNS verkeer regelen voor de meeste mensen. Daarbij maken praktisch alle sites tegenwoordig gebruik van SNI, wat de hostname van een website ongecodeerd verstuurd.

Zelfs al doe je alles over HTTPS, je ISP kan met DPI makkelijk zien welke sites je bezoekt. Voor bezoekers van sites als tweakers.net zal dat geen groot probleem zijn (de site gaat over ICT, maar je kan net zo goed een pagina bezoeken over hacking, games of de pricewatch bijvoorbeeld), maar voor bezoekers van sites als uitdekastkomen.nl en erectieproblemen. nl wordt het een heel ander verhaal. Dan is een lekkende hostname eigenlijk al te veel.

Als je veilig wilt browser ben je beter af met een VPN bij een bedrijf dat als business model heeft niet te monitoren, alhoewel je dan in feite alleen het probleem verplaatst.
DPI is verboden in Nederland, dus daar ben ik niet zo bang voor.
Als er clientside gehasht wordt is die hash dus effectief het password geworden. Als de hash onderschept wordt kan daarmee dus gewoon ingelogd worden.
Ik bedoelde dat bedrijven het niet als zelfsprekend nemen. Als tweakers dat regelmatig over hacks/lekken rapporteert er al niks aan doet laat staan een persoonlijke pagina die 5x per dag bezocht wordt.
Gewoon domme beheerder.
Een op het kantje crimineel nalatige beheerder als het een omgeving is waar persoonsgegevens op verwerkt worden.
Kleine nuancering aangaande die "en dan". Om SNI te laten werken moet de client sowieso de hostname opsturen. Maar de client weet niet of een server van SNI gebruik maakt, dus die zal de hostname dan ook standaard altijd in plain text meesturen, ookal gebruikt de server in kwestie geen SNI. De praktijk is dus dat je gewoon altijd de hostname kunt intercepten.
9 van de 10 sites lekken die info juist met google analytics naar Google.
Maar een HTTP-verbinding is toch niet per definitie niet veilig?

Klopt, daarom ben ik niet zo blij met het plan om alle HTTP als onveilig te bestempelen. Boy Cry Wolf.

Doch in dit geval gaat het om inlog pagina's. Dan lijkt me de waarschuwing juist wel op zijn plaatst.
Maar ondertussen krijg ik op elke locatie dus te zien dat ik onveilig kan zijn ...
Er zijn natuurlijk nog andere browsers... Dus het hoeft niet ;)
Ik vraag me altijd of wat de beweegreden is voor hosters om Let's Encrypt te ondersteunen. Ik werk met een paar hosters en eentje biedt bijvoorbeeld Let's Encrypt aan waardoor ik alle sites die ik daar heb achter TLS heb gestopt. Een ander doet dat niet en daar betaal ik nu £59 per jaar om een enkele site achter TLS te hebben.

Ik vind het allemaal prima dat ik bij de ene niet hoef te betalen. Toch vraag ik me af waarom je als hoster jezelf in de voet zou schieten door Let's Encrypt te ondersteunen? Zouden de kosten van het beheren en regelen van al die certificaten dan eigenlijk niet opwegen tegen de baten?
Zullen die hosters zoveel verdienen aan die certificaten die ze (door)verkopen aan jou?
op termijn wil google gewoon dat mensen standaard https gebruiken, de reden lijkt me duidelijk, 1 simpel wardriving scriptjes en je kunt precies zien waar mensen naar zoeken, (google), welke pagina's ze lezen (wiki) en dus binnen no time, of je ze moet zien als potentiele moslim-terrorist (op basis van totale arbitraire filters waar niemand ooit inzicht in heeft... als dat geen 1984 is dan weet ik het niet meer..

en laten we eerlijk zijn, hardware is tegenwordig meer dan snel genoeg om een simpele 128bit key hardwarematig te versnellen, en voor login en overige 'gevoelige gegevens kunnen we ook nog prima naar 2M keys.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True