Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Firefox gaat waarschuwingen tonen bij inloggen non-https-sites

Mozilla komt 'binnenkort' met een update voor Firefox die maakt dat de browser waarschuwingen toont als een gebruiker wil inloggen bij een site die geen https ondersteunt. De browser geeft dan aan dat logins 'compromised' kunnen zijn.

De waarschuwing toont een slot met een rode streep erdoor, vergezeld van de melding dat de verbinding niet veilig is. "Logins die hier ingevoerd worden kunnen gecompromitteerd worden", luidt de tekst. De update van de browser volgt 'binnenkort', meldt Ryan Feely, ux-ontwerper bij Mozilla.

Browsers waarschuwen al of sites beveiligde verbindingen bieden met tls, door middel van het hangslotje in de adresbalk. Met name Google wordt met Chrome strenger wat betreft het ondersteunen van https. Bij sites die dit niet doen, toont Chrome vanaf versie 56 een waarschuwing bij inloggen bij http-sites, terwijl de browser https-sites 'beloont' met een groen slotje. Uiteindelijk wil het Chrome-team bij elke http-site zo'n waarschuwing tonen.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

24-11-2016 • 21:25

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Heerlijk inderdaad Let's Encrypt. Voor degenen die cPanel runnen is er een plugin die alles voor je afhandeld: https://github.com/Prajithp/letsencrypt-cpanel

Installeren via SSH, en daarna heb je als user in cPanel een Let's Encrypt icoon waar je certificaten kunt aanvragen die hij automatisch voor je verlengt.

Dan alleen nog zorgen dat je applicaties waar gewenst https forceren via htaccess en natuurlijk zorgen dat alles werkt via https.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 21:46]

Als je alles op je domein via https hebt draaien, vergeet dan niet HSTS header toe te voegen en je site hier aan te melden: https://hstspreload.appspot.com/

De HSTS header geeft aan dat je site alleen via HTTPS geserveerd mag worden (dus als iets of iemand je htaccess zo aanpast dat het ook via http werkt, dan geeft je browser een foutmelding). De submission gaat nog iets verder en neemt je domein op in een hardcoded lijst die onder andere in Chrome en Firefox gebruikt wordt.

Wat ook leuk is, is als dat eenmaal gedaan is, je na verloop van tijd je domein terug kan vinden in de source:

https://cs.chromium.org/c...ecurity_state_static.json
Lees eerst deze blogpost voordat je dit advies blindelings opvolgt. Er zit ook een risico aan!

https://scotthelme.co.uk/death-by-copy-paste/
Zo te zien ondersteunt het nu ook Let's Encrypt! Maar dan heb ik denk ik nog een oudere cPanel, ik heb namelijk een managed VPS dus mijn hoster runt de updates voor mij maar ik heb verder wel totale toegang. Misschien eens even naar kijken, alhoewel de plugin die ik postte helemaal prima werkt.

[Reactie gewijzigd door s1h4d0w op 24 november 2016 22:05]

Blindelings doorsturen naar https kan negatieve bijwerkingen hebben: het is niet altijd zo dat de https site hetzelfde is als de http site. Sommige sites sturen je automatisch naar http als je ze via https bezoekt, dus dan zou je in een oneindige doorverwijslus blijven hangen.

Als je zoveel mogelijk https wilt hebben zonder verlies van gebruikersgemak, dan kan je HTTPS Everywhere installeren. Deze bevat een lijst van sites waarbij het bekend is dat https goed wordt ondersteund: https://www.eff.org/https-everywhere

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True