Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Mozilla komt 'binnenkort' met een update voor Firefox die maakt dat de browser waarschuwingen toont als een gebruiker wil inloggen bij een site die geen https ondersteunt. De browser geeft dan aan dat logins 'compromised' kunnen zijn.

De waarschuwing toont een slot met een rode streep erdoor, vergezeld van de melding dat de verbinding niet veilig is. "Logins die hier ingevoerd worden kunnen gecompromitteerd worden", luidt de tekst. De update van de browser volgt 'binnenkort', meldt Ryan Feely, ux-ontwerper bij Mozilla.

Browsers waarschuwen al of sites beveiligde verbindingen bieden met tls, door middel van het hangslotje in de adresbalk. Met name Google wordt met Chrome strenger wat betreft het ondersteunen van https. Bij sites die dit niet doen, toont Chrome vanaf versie 56 een waarschuwing bij inloggen bij http-sites, terwijl de browser https-sites 'beloont' met een groen slotje. Uiteindelijk wil het Chrome-team bij elke http-site zo'n waarschuwing tonen.

Firefox http waarschuwing

Moderatie-faq Wijzig weergave

Reacties (57)

Mooi! :) Vond het altijd al leip dat een self-signed certificaat enge teksten en "Haal me hier weg!!1!" toonde, maar je wel doodleuk zonder gezeur en waarschuwingen kon inloggen op http links. :')

Aan de andere kant, voor veel mensen zal het wel schrikken zijn en die snappen er dan geen hol van. Wel fijn dat ze zo ietwat onderwezen worden, maar ik voorzie er toch problemen en enige hysterie mee als firefox mensen meteen in het diepe gooit. (Al valt de melding zoals in de screenshot wel mee :) Ik neem aan dat als je er op klikt je dan uitleg krijgt over beveiligde verbindingen en mooie tips als "neem contact op met de site eigenaar en vertel hen SSL te gebruiken", etc.)

[Reactie gewijzigd door WhatsappHack op 24 november 2016 21:35]

Aan de andere kant, voor veel mensen zal het wel schrikken zijn en die snappen er dan geen hol van.
Dat is de bedoeling ook. Webmasters worden wat meer gepushed om SSL te gaan gebruiken, omdat ze bezoekers kunnen verliezen hierdoor.

Goede zaak, ik draai voor al mijn klanten gewoon automatisch Lets Encrypt, zoals Tweakers ook gebruikt. Elke website heeft gewoon standaard HTTPS aan staan i.c.m. HTTP/2.

Gratis, maar wel binnen 90 dagen een nieuw certificaat aanvragen. Gelukkig kan heel eenvoudig via een cronjob, en moedigen ze dat zelfs aan. Dus het hele gedoe over "hoge kosten" is nu een non-issue.

(Tenzij je gewoon een enterprise certificaat nodig hebt of een wildcard, maar de meeste websites die van deze melding last gaan krijgen, hebben dat niet nodig)

[Reactie gewijzigd door xoniq op 24 november 2016 21:42]

Heerlijk inderdaad Let's Encrypt. Voor degenen die cPanel runnen is er een plugin die alles voor je afhandeld: https://github.com/Prajithp/letsencrypt-cpanel

Installeren via SSH, en daarna heb je als user in cPanel een Let's Encrypt icoon waar je certificaten kunt aanvragen die hij automatisch voor je verlengt.

Dan alleen nog zorgen dat je applicaties waar gewenst https forceren via htaccess en natuurlijk zorgen dat alles werkt via https.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 21:46]

Als je alles op je domein via https hebt draaien, vergeet dan niet HSTS header toe te voegen en je site hier aan te melden: https://hstspreload.appspot.com/

De HSTS header geeft aan dat je site alleen via HTTPS geserveerd mag worden (dus als iets of iemand je htaccess zo aanpast dat het ook via http werkt, dan geeft je browser een foutmelding). De submission gaat nog iets verder en neemt je domein op in een hardcoded lijst die onder andere in Chrome en Firefox gebruikt wordt.

Wat ook leuk is, is als dat eenmaal gedaan is, je na verloop van tijd je domein terug kan vinden in de source:

https://cs.chromium.org/c...ecurity_state_static.json
Lees eerst deze blogpost voordat je dit advies blindelings opvolgt. Er zit ook een risico aan!

https://scotthelme.co.uk/death-by-copy-paste/
? Waarom niet .htaccess

#First rewrite any request to the wrong domain to use the correct one (here www.)
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

#Now, rewrite to HTTPS:
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Dat is niet de plaats waar je dit soort dingen configureert:

"You should avoid using .htaccess files completely if you have access to httpd main server config file. Using .htaccess files slows down your Apache http server. Any directive that you can include in a .htaccess file is better set in a Directory block, as it will have the same effect with better performance."

https://httpd.apache.org/docs/2.4/howto/htaccess.html
Dank ga het meteen aanpassen
Zit tegenwoordig standaard al in cpanel, vanaf 11.58 zeg ik even uit mijn hoofd. Gewoon autossl gebruiken, heb je geen losse plugin nodig!

[Reactie gewijzigd door bazzi op 24 november 2016 21:47]

Dat is standaard niet gebaseerd op Let's Encrypt, maar een samenwerking met COMODO.
Just sayin' :)
Zo te zien ondersteunt het nu ook Let's Encrypt! Maar dan heb ik denk ik nog een oudere cPanel, ik heb namelijk een managed VPS dus mijn hoster runt de updates voor mij maar ik heb verder wel totale toegang. Misschien eens even naar kijken, alhoewel de plugin die ik postte helemaal prima werkt.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 22:05]

Zit ook in DirectAdmin. Let's Encrypt is ook heel makkelijk te installeren.
En in Plesk ook, erg prettig zo :) alle sites draaien via spdy en https standaard.
SPDY? Dat is inmiddels uit Chrome gehaald.. Een mooie opvolger is HTTP/2 :)
Heb het maar even voor de zekerheid gecontroleerd, het is inderdaad http/2 waar ik op draai. Chrome maakte er in zijn netwerk tab toentertijd nog spdy van :)
En wat kan iemand doen met een hobby webserver, waar enkel hobby websites op draaien?

Heb al ong. 18 jaar een webserver, als niet-zo-super-techie prima te installeren en onderhouden. Nu kom ik begrippen tegen waar ik, in elk nˇg, niet zo vertrouwd mee ben; ga niet blindelings iets installeren waar ik geen weet van de achtergronden heb, het hoe en wat zogezegd...
Dan bied je een vriend een kratje bier aan om het voor je te doen.

Maar zonder gein, ik begrijp je probleem. Voor amateurs is het wat overweldigend. Je kunt het voor hobby-sites negeren en de extra waarschuwingen voorlopig op de koop toe nemen. Het zijn immers slechts kleine waarschuwingen in de browsers en alles blijft nog gewoon werken. Je kunt echter in de komende jaren verwachten dat HTTPS steeds meer de norm wordt.

Het loont zich dus om je er in te verdiepen. Nu je door Let's Encrypt gratis certificaten kunt krijgen Ún de tools om deze automatisch te installeren en verlengen is de grootste hindernis voor amateurs juist weg. Het is nog nooit zo makkelijk geweest. En zodra je HTTPS hebt kun je ook HTTP/2 toevoegen en krijgen al je sites nog een mooie performanceboost gratis erbij.

Er zijn vele goede tutorials te vinden voor elke platform die je op weg helpen. Zie bijv. https://www.digitalocean....-s-encrypt?type=tutorials
Wanneer jij een hobby website hebt draaien neem ik aan dat je daar geen mogelijkheid hebt om in te loggen toch? Dan krijg je namelijk geen melding.

Heb je wel een mogelijkheid tot inloggen dan zul je er toch aan moeten. https bestaat nu al zo lang dat er genoeg tijd is geweest er bekend mee te worden. Zelfs als hobbyist moet je zorgen dat je zaken goed beveiligd zijn. Ik neem aan dat je wel je wachtwoorden versleuteld en jezelf beveiligd tegen SQL injectie. Zo niet dan zou ik je applicaties meteen van het net afhalen. Jij bent verantwoordelijk voor de persoonlijke data die via jou website verstuurd word. Kan dan wel een hobby website zijn maar als je iemand hebt die overal hetzelfde wachtwoord gebruikt ben jij de zwakste schakel.

Ik kan als hobbyist ook wel voordeuren gaan maken, maar zonder slot zou ik ze niet weg durven te geven.

[Reactie gewijzigd door s1h4d0w op 25 november 2016 22:33]

Ik gebruik de gratis optie van cloudflare. Ook appeltje eitje en verloopt niet.

[Reactie gewijzigd door Justin_ op 26 november 2016 09:14]

Ik ben benieuwd hoe Firefox de login-box formulierelementen herkent. Formulier elementen worden ook voor website-instellingen en zoekfuncties gebruikt.

[Reactie gewijzigd door AW_Bos op 24 november 2016 21:56]

Ik verwacht dat Firefox in het formulier controleert op de aanwezigheid van een input-element met type="password".
En ongetwijfeld zullen luie sitebeheerders ervoor kiezen om dan maar type=text te gebruiken om van die melding af te zijn ipv https te implementeren...
En waarom dan niet gewoon https?
dus eigenlijk moeten we een waarschuwing creeeren bij alle formulieren onder http?
Yep exact. Als je niet wilt dat je karakters op het scherm getoond worden, wil je ze ongetwijfeld ook niet over plain HTTP versturen....
Ik vermoed dat ze de name of id vergelijken met standaard-namen, zoals username etc. Browsers kunnen vaak ook al veel opgeslagen informatie invullen, volgens mij gaat dat ook mbv de veldnamen.
Een username en/of password combo is al snel detecteerbaar.
Maar het gewoon melden bij alle formulieren die over http verzonden zullen worden kan ook. ;) Niet enkel gebruikersnaam/wachtwoord is gevoelige info.
Ik denk niet dat dit een probleem is. Firefox heeft al een functie om wachtwoorden op te slaan, oftewel ze hebben al code om inlogformulieren te herkennen.
Hoogst waarschijnlijk zullen ze gewoon kijken of er in een form twee input velden zijn, waarvan 1 de 'type' password mee krijgt, veel password managers gebruiken al soortgelijke methodes.

Of wellicht laten ze deze melding alleen zien bij een veld met 'type' password.
Eigenlijk zou de browser bij http sites automatisch javascript moeten uitschakelen.
Ik heb liever dat de browser voor mij controleert of er ook een https variant is en dan mij daar naar toe stuurt. is die er niet, mij dan pas te waarschuwen als ik inlog. Je zou bepaalde javascript functionaliteit kunnen disablen op een non-https website, maar lokaal testen wordt heel veel gedaan op non-https, dan moet je daar weer een achterdeur voor verzinnen of je certificaat verspreiden over al je IT medewerkers. en dat laatste, dat wil je niet.
Blindelings doorsturen naar https kan negatieve bijwerkingen hebben: het is niet altijd zo dat de https site hetzelfde is als de http site. Sommige sites sturen je automatisch naar http als je ze via https bezoekt, dus dan zou je in een oneindige doorverwijslus blijven hangen.

Als je zoveel mogelijk https wilt hebben zonder verlies van gebruikersgemak, dan kan je HTTPS Everywhere installeren. Deze bevat een lijst van sites waarbij het bekend is dat https goed wordt ondersteund: https://www.eff.org/https-everywhere
er is meer mogelijk dan alleen maar kijken of er een 443 poortje openstaat hoor ;)
Dat is niet de verantwoordelijk van de browser maar van de websitebeheerder
kom vaak genoeg tegen dat dat niet gebeurt terwijl ze wel gewoon https aanbieden. bedoel, de cookies is ook de verantwoordelijkheid van de website beheerder. gebeurt ook niet altijd en goed. Toch fijn dat browserbouwers dan inbouwen dat je cookies kunt weigeren. niet dan?
Zet dan een developer-mode in Firefox die voor de power users aan te zetten is, maar voor de gebruikers zou het iig een grote aanvalsvector uitschakelen.
De https en http varianten kunnen een heel andere site hosten. Dus indien je browser automatisch doorstuurt naar https dan krijg je misschien niet de site die je verwacht.
Dan ben je gewoon een slechte developer.
Met Civillian eens. dan ben je een hele slechte developer. plus, er is meer mogelijk dan alleen een poortje checken. de html kan vergeleken worden en bij te grote afwijking kun je dan als nog http tonen en daarbij gaan waarschuwen.
Ja dat kan wel zijn...maar het gebeurt...en dan kan de developer wel slecht zijn maar het verandert niets aan de situatie.
Dit lijkt me juist onhandig. Er zijn ook veel websites die geen persoonlijke gegevens opvragen (veel kleine bedrijven hebben een simpele site), maar ja wordt ook vaak voor andere onderdelen onderdelen. Daarom zou ik dit als heel onhandig vinden.

Ik zou liever hebben dat ik, als het er is, altijd automatisch naar https word doorgestuurd door de browser.
IE6 had deze feature al :P
Maar los daarvan is het goed dat Firefox deze feature opnieuw leven inblaast.
Serieus? In die tijd dat IE6 nog een groot marktaandeel had was een SSL-certificaat erg duur en niet gebruikelijk voor een gemiddelde site. Vooral met dank aan Let's Encrypt kost een certificaat geen fluit meer, en is het aantal SSL-verbindingen keihard gestegen.
Mijn gratis website(zonder reclame) heeft een wildcard certificaat nodig. (Elke gebruiker heeft zijn eigen subdomain) Waar kan ik die krijgen ?

[Reactie gewijzigd door scribly op 25 november 2016 02:31]

Je kunt prima het let's encrypt proces automatiseren zodat voor iedere gebruiker een certificaat geinstalleerd wordt. Krijg je wel voor iedere gebruiker een nginx config file (of ieder andere willekeurige server), maar ok.
Voor jouw "unieke situatie" (als in, komt niet veel voor) moet je inderdaad een paar tientjes per jaar uitgeven voor een wildcard certificate.

Afhankelijk van hoeveel nieuwe registraties je per dag hebt, kan je het ook op de geeky manier proberen, door je gebruikers te groeperen in certificaten.

Je kan 100 subdomains in een LetsEncrypt certificaat kwijt, En 20 certificaten per week registreren. Met wat slimme scripting, enzovoorts. :)
Ik vermoed dat IE5 die optie zelfs al had. Je zag de optie echter maar een keer, omdat het vinkje "do not show again" standaard aangevinkt was. De waarschuwing kreeg je (tenzij na de eerste keer uitgeschakeld) als je op een unencrypted website een formulier invulde.
aparte ontwikkeling, "opeens" is http eng en moet het volledig verbannen worden..

terwijl voor een huis tuin en keuken site https niets toevoegt, alleen de load op de server zwaarder maakt en potentieel massa's fout geconfigureerde https kan gaan opleveren

dan heb ik liever een http site imho..

[Reactie gewijzigd door mschol op 25 november 2016 07:25]

Vind ik ook wel een beetje. Hoe vaak wordt er nou op zeg 99% van de sites verkeer onderschept of sessies hijacked? En is het dan zo erg? Verder creeer je nu schijnveiligheid: gebruik SSL en je hoeft je niet druk meer te maken, terwijl er zat andere lekken in kunnen zitten, evenals dat er genoeg aandachtspuntjes in SSL zelf zitten. En misschien hashed de site de wachtwoorden zelf wel client-side zodat je login in ieder geval niet plaintext over de lijn gaat, dan krijg je dus alsnog een warning. (en het kritieke punt waar heel SSL op hangt, de certificates, doet niemand echt moeilijk over: gratis certificaatje of een untrusted even op ok klikken is allemaal prima lol)

[Reactie gewijzigd door Zoijar op 25 november 2016 08:15]

IMO creŰer je geen schijnveiligheid. Http is minder privacy-veilig dan https, hier is weinig mening aan. Privacy (/beveiliging) hoort de standaard te zijn, niet de uitzondering. Het probleem ligt 'm de in laksheid van de programmeurs die uberhaupt niet (veel) nadenken over veiligheid. Op deze manier is de ondergrens een stukje naar boven verlegd.
...gebruik SSL en je hoeft je niet druk meer te maken...
Hier ben ik het mee eens, dit is gevaarlijk, je moet je op meerdere fronten beveiligen. Maar, exact diezelfde laksheid is Řberhaupt het probleem, mensen denken veel te makkelijk over beveiliging. Programmeren duurt langer als je het erg veilig wilt

Dat gratis certificaatje (LetsEcrypt bv) haalt een excuus weg om het niet te doen. Als programmeur heb je een taak/verplichting om de mensen die er geen verstand van hebben te beschermen, je mag dit niet verwachten van het gemiddelde individu die zich er niet mee bezig houdt.

En ik heb nog nooit iemand gezien die zomaar dat grote rode gevaarlijke "PAS OP, MOGELIJK GEVAARLIJK!" scherm heeft weggeklikt.

[Reactie gewijzigd door Martijn.C.V op 25 november 2016 11:59]

De browser geeft dan aan dat logins 'compromised' kunnen zijn.

Beter zou zijn: logingegevens zouden onderschept kunnen worden.
[1] Zolang er nog niets is verzonden kan er niets comprimised zijn.
[2] De formulering suggereert dat dit al is gebeurd (en dat blijkt nergens uit).

Verder prima idee overigens SSL, don't get me wrong.
Vreemd dat niemand hier de cipher suites heeft genoemd. TLS is leuk en aardig maar als je servers verouderde cipher suites gebruiken is het nog steeds zo "lek als een mandje". Het is niet simpelweg even een cerficaat installeren en klaar is kees.
Voor een hoop dingen is https helemaal niet nodig
En voor een hoop andere, inclusief bakken met moderne performance en UX verbeterende technologie die de toekomst van het web gaat bepalen en web 'apps' dichter bij native apps gaan brengen is het juist ZEER wenselijk om enkel en alleen verkeer via een geauthenticeerde en beveiligde verbinding plaats te laten vinden.

Ja; er gaan wat slachtoffers vallen bij het in de ban doen van plain HTTP. Jammer; dat heb je overal.
Voor een hoop dingen is https helemaal niet nodig
Waarom zou het niet nodig zijn? Je geeft geen onderbouwing, je post bestaat alleen uit statements die met minimaal onderzoek al fout zijn.
De foutmelding geeft aan dat zonder https de login informatie aangepast kan worden. Hiervoor zijn verschillende tools beschikbaar. De browser zal een waarschuwing geven. Snowden heeft al genoeg documenten openbaar gemaakt waarin blijkt dat de NSA dit makkelijk kan doen. D'r zijn enorm veel tools om dit te doen op een lokaal netwerk.

En dan kom je met een statement: "hoop dingen is https helemaal niet nodig"?
dwingt website beheerders om dure certificaten te nemen of elke dag/maand een nieuw certificaat te installeren
Let's Encrypt compleet over het hoofd gezien?

Artikel geeft enorm duidelijk aan wat het probleem is. Lijkt alsof je niks gelezen hebt. Niet het artikel, andere comments, eerdere artikelen, niks.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True