Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Firefox gaat waarschuwingen tonen bij inloggen non-https-sites

Mozilla komt 'binnenkort' met een update voor Firefox die maakt dat de browser waarschuwingen toont als een gebruiker wil inloggen bij een site die geen https ondersteunt. De browser geeft dan aan dat logins 'compromised' kunnen zijn.

De waarschuwing toont een slot met een rode streep erdoor, vergezeld van de melding dat de verbinding niet veilig is. "Logins die hier ingevoerd worden kunnen gecompromitteerd worden", luidt de tekst. De update van de browser volgt 'binnenkort', meldt Ryan Feely, ux-ontwerper bij Mozilla.

Browsers waarschuwen al of sites beveiligde verbindingen bieden met tls, door middel van het hangslotje in de adresbalk. Met name Google wordt met Chrome strenger wat betreft het ondersteunen van https. Bij sites die dit niet doen, toont Chrome vanaf versie 56 een waarschuwing bij inloggen bij http-sites, terwijl de browser https-sites 'beloont' met een groen slotje. Uiteindelijk wil het Chrome-team bij elke http-site zo'n waarschuwing tonen.

Door Olaf van Miltenburg

Nieuwscoördinator

24-11-2016 • 21:25

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Mooi! :) Vond het altijd al leip dat een self-signed certificaat enge teksten en "Haal me hier weg!!1!" toonde, maar je wel doodleuk zonder gezeur en waarschuwingen kon inloggen op http links. :')

Aan de andere kant, voor veel mensen zal het wel schrikken zijn en die snappen er dan geen hol van. Wel fijn dat ze zo ietwat onderwezen worden, maar ik voorzie er toch problemen en enige hysterie mee als firefox mensen meteen in het diepe gooit. (Al valt de melding zoals in de screenshot wel mee :) Ik neem aan dat als je er op klikt je dan uitleg krijgt over beveiligde verbindingen en mooie tips als "neem contact op met de site eigenaar en vertel hen SSL te gebruiken", etc.)

[Reactie gewijzigd door WhatsappHack op 24 november 2016 21:35]

Aan de andere kant, voor veel mensen zal het wel schrikken zijn en die snappen er dan geen hol van.
Dat is de bedoeling ook. Webmasters worden wat meer gepushed om SSL te gaan gebruiken, omdat ze bezoekers kunnen verliezen hierdoor.

Goede zaak, ik draai voor al mijn klanten gewoon automatisch Lets Encrypt, zoals Tweakers ook gebruikt. Elke website heeft gewoon standaard HTTPS aan staan i.c.m. HTTP/2.

Gratis, maar wel binnen 90 dagen een nieuw certificaat aanvragen. Gelukkig kan heel eenvoudig via een cronjob, en moedigen ze dat zelfs aan. Dus het hele gedoe over "hoge kosten" is nu een non-issue.

(Tenzij je gewoon een enterprise certificaat nodig hebt of een wildcard, maar de meeste websites die van deze melding last gaan krijgen, hebben dat niet nodig)

[Reactie gewijzigd door xoniq op 24 november 2016 21:42]

Heerlijk inderdaad Let's Encrypt. Voor degenen die cPanel runnen is er een plugin die alles voor je afhandeld: https://github.com/Prajithp/letsencrypt-cpanel

Installeren via SSH, en daarna heb je als user in cPanel een Let's Encrypt icoon waar je certificaten kunt aanvragen die hij automatisch voor je verlengt.

Dan alleen nog zorgen dat je applicaties waar gewenst https forceren via htaccess en natuurlijk zorgen dat alles werkt via https.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 21:46]

Als je alles op je domein via https hebt draaien, vergeet dan niet HSTS header toe te voegen en je site hier aan te melden: https://hstspreload.appspot.com/

De HSTS header geeft aan dat je site alleen via HTTPS geserveerd mag worden (dus als iets of iemand je htaccess zo aanpast dat het ook via http werkt, dan geeft je browser een foutmelding). De submission gaat nog iets verder en neemt je domein op in een hardcoded lijst die onder andere in Chrome en Firefox gebruikt wordt.

Wat ook leuk is, is als dat eenmaal gedaan is, je na verloop van tijd je domein terug kan vinden in de source:

https://cs.chromium.org/c...ecurity_state_static.json
Lees eerst deze blogpost voordat je dit advies blindelings opvolgt. Er zit ook een risico aan!

https://scotthelme.co.uk/death-by-copy-paste/
Zit tegenwoordig standaard al in cpanel, vanaf 11.58 zeg ik even uit mijn hoofd. Gewoon autossl gebruiken, heb je geen losse plugin nodig!

[Reactie gewijzigd door bazzi op 24 november 2016 21:47]

Dat is standaard niet gebaseerd op Let's Encrypt, maar een samenwerking met COMODO.
Just sayin' :)
Zo te zien ondersteunt het nu ook Let's Encrypt! Maar dan heb ik denk ik nog een oudere cPanel, ik heb namelijk een managed VPS dus mijn hoster runt de updates voor mij maar ik heb verder wel totale toegang. Misschien eens even naar kijken, alhoewel de plugin die ik postte helemaal prima werkt.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 22:05]

Zit ook in DirectAdmin. Let's Encrypt is ook heel makkelijk te installeren.
En in Plesk ook, erg prettig zo :) alle sites draaien via spdy en https standaard.
SPDY? Dat is inmiddels uit Chrome gehaald.. Een mooie opvolger is HTTP/2 :)
Ik ben benieuwd hoe Firefox de login-box formulierelementen herkent. Formulier elementen worden ook voor website-instellingen en zoekfuncties gebruikt.

[Reactie gewijzigd door AW_Bos op 24 november 2016 21:56]

Ik verwacht dat Firefox in het formulier controleert op de aanwezigheid van een input-element met type="password".
En ongetwijfeld zullen luie sitebeheerders ervoor kiezen om dan maar type=text te gebruiken om van die melding af te zijn ipv https te implementeren...
En waarom dan niet gewoon https?
dus eigenlijk moeten we een waarschuwing creeeren bij alle formulieren onder http?
Yep exact. Als je niet wilt dat je karakters op het scherm getoond worden, wil je ze ongetwijfeld ook niet over plain HTTP versturen....
Ik vermoed dat ze de name of id vergelijken met standaard-namen, zoals username etc. Browsers kunnen vaak ook al veel opgeslagen informatie invullen, volgens mij gaat dat ook mbv de veldnamen.
Een username en/of password combo is al snel detecteerbaar.
Maar het gewoon melden bij alle formulieren die over http verzonden zullen worden kan ook. ;) Niet enkel gebruikersnaam/wachtwoord is gevoelige info.
Ik denk niet dat dit een probleem is. Firefox heeft al een functie om wachtwoorden op te slaan, oftewel ze hebben al code om inlogformulieren te herkennen.
Hoogst waarschijnlijk zullen ze gewoon kijken of er in een form twee input velden zijn, waarvan 1 de 'type' password mee krijgt, veel password managers gebruiken al soortgelijke methodes.

Of wellicht laten ze deze melding alleen zien bij een veld met 'type' password.
Ik heb liever dat de browser voor mij controleert of er ook een https variant is en dan mij daar naar toe stuurt. is die er niet, mij dan pas te waarschuwen als ik inlog. Je zou bepaalde javascript functionaliteit kunnen disablen op een non-https website, maar lokaal testen wordt heel veel gedaan op non-https, dan moet je daar weer een achterdeur voor verzinnen of je certificaat verspreiden over al je IT medewerkers. en dat laatste, dat wil je niet.
Blindelings doorsturen naar https kan negatieve bijwerkingen hebben: het is niet altijd zo dat de https site hetzelfde is als de http site. Sommige sites sturen je automatisch naar http als je ze via https bezoekt, dus dan zou je in een oneindige doorverwijslus blijven hangen.

Als je zoveel mogelijk https wilt hebben zonder verlies van gebruikersgemak, dan kan je HTTPS Everywhere installeren. Deze bevat een lijst van sites waarbij het bekend is dat https goed wordt ondersteund: https://www.eff.org/https-everywhere
Dit lijkt me juist onhandig. Er zijn ook veel websites die geen persoonlijke gegevens opvragen (veel kleine bedrijven hebben een simpele site), maar ja wordt ook vaak voor andere onderdelen onderdelen. Daarom zou ik dit als heel onhandig vinden.

Ik zou liever hebben dat ik, als het er is, altijd automatisch naar https word doorgestuurd door de browser.
IE6 had deze feature al :P
Maar los daarvan is het goed dat Firefox deze feature opnieuw leven inblaast.
Je kunt prima het let's encrypt proces automatiseren zodat voor iedere gebruiker een certificaat geinstalleerd wordt. Krijg je wel voor iedere gebruiker een nginx config file (of ieder andere willekeurige server), maar ok.
Voor jouw "unieke situatie" (als in, komt niet veel voor) moet je inderdaad een paar tientjes per jaar uitgeven voor een wildcard certificate.

Afhankelijk van hoeveel nieuwe registraties je per dag hebt, kan je het ook op de geeky manier proberen, door je gebruikers te groeperen in certificaten.

Je kan 100 subdomains in een LetsEncrypt certificaat kwijt, En 20 certificaten per week registreren. Met wat slimme scripting, enzovoorts. :)
IMO creëer je geen schijnveiligheid. Http is minder privacy-veilig dan https, hier is weinig mening aan. Privacy (/beveiliging) hoort de standaard te zijn, niet de uitzondering. Het probleem ligt 'm de in laksheid van de programmeurs die uberhaupt niet (veel) nadenken over veiligheid. Op deze manier is de ondergrens een stukje naar boven verlegd.
...gebruik SSL en je hoeft je niet druk meer te maken...
Hier ben ik het mee eens, dit is gevaarlijk, je moet je op meerdere fronten beveiligen. Maar, exact diezelfde laksheid is überhaupt het probleem, mensen denken veel te makkelijk over beveiliging. Programmeren duurt langer als je het erg veilig wilt

Dat gratis certificaatje (LetsEcrypt bv) haalt een excuus weg om het niet te doen. Als programmeur heb je een taak/verplichting om de mensen die er geen verstand van hebben te beschermen, je mag dit niet verwachten van het gemiddelde individu die zich er niet mee bezig houdt.

En ik heb nog nooit iemand gezien die zomaar dat grote rode gevaarlijke "PAS OP, MOGELIJK GEVAARLIJK!" scherm heeft weggeklikt.

[Reactie gewijzigd door Martijn.C.V op 25 november 2016 11:59]

Voor een hoop dingen is https helemaal niet nodig
Waarom zou het niet nodig zijn? Je geeft geen onderbouwing, je post bestaat alleen uit statements die met minimaal onderzoek al fout zijn.
De foutmelding geeft aan dat zonder https de login informatie aangepast kan worden. Hiervoor zijn verschillende tools beschikbaar. De browser zal een waarschuwing geven. Snowden heeft al genoeg documenten openbaar gemaakt waarin blijkt dat de NSA dit makkelijk kan doen. D'r zijn enorm veel tools om dit te doen op een lokaal netwerk.

En dan kom je met een statement: "hoop dingen is https helemaal niet nodig"?
dwingt website beheerders om dure certificaten te nemen of elke dag/maand een nieuw certificaat te installeren
Let's Encrypt compleet over het hoofd gezien?

Artikel geeft enorm duidelijk aan wat het probleem is. Lijkt alsof je niks gelezen hebt. Niet het artikel, andere comments, eerdere artikelen, niks.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True