Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla waarschuwt voor http in Firefox 51

Door , 51 reacties

Mozilla heeft versie 51 van zijn Firefox-browser uitgebracht. Hierin wordt een waarschuwing gegeven als een website met loginformulier geen beveiligde verbinding heeft. Ook concurrent Google komt met een soortgelijke functie in de aankomende Chrome versie 56.

Mozilla heeft de vernieuwingen in Firefox-versie 51 in de release notes gezet. De browserbouwer meldt dat er een waarschuwing getoond wordt in de url-balk als een website met loginpagina geen https aanbiedt. Die waarschuwing wordt weergegeven in de vorm van een slotje met een streep erdoor. Mozilla geeft hierbij het advies om niet op dergelijke websites in te loggen.

Verder bevat Firefox 51 nog een aantal nieuwe eigenschappen. Zo is het mogelijk om flac-bestanden af te spelen en is er ondersteuning voor WebGL 2 toegevoegd. Ook moet het op meer websites mogelijk worden om wachtwoorden op te slaan. Mozilla stelt verder dat de prestaties van de browser zijn verbeterd en dat er verscheidene softwarefouten zijn verholpen.

Met de waarschuwingen voor http treedt Mozilla in de voetsporen van Google, die eerder iets vergelijkbaars deed in Chrome. De internetgigant voerde het waarschuwingsmechanisme in bij Chrome-versie 56. Veel websites zijn in de afgelopen jaren aan de slag gegaan met het invoeren van https op hun websites, al is dit nog niet overal doorgevoerd. Zo kwam onlangs minister Plasterk onder vuur, omdat hij niet alle overheidswebsites van https wilde voorzien. Daar kwam hij overigens later weer op terug.

Moderatie-faq Wijzig weergave

Reacties (51)

Reactiefilter:-151049+120+24+30Ongemodereerd19
Voor wie iets meer achtergrond wil over de specifieke ontwerpkeuzes die Mozilla heeft gemaakt met de HTTP waarschuwing is dit wel een aardige blog post: No More Passwords over HTTP, Please! De post is al een jaar oud, toen de basis voor de feature werd gelegd, maar geeft wel een aardig inkijkje.
Mooi dat ook Firefox er eindelijk voor waarschuwt. Bijvoorbeeld, op drukke plaatsen en in horeca-gelegenheden is het sniffen via gedeelde wifi van andere gebruikers gewoon TE gemakkelijk geworden.

En laatst wilde ik op http://www.omnifoto.nl een aankoop doen terwijl ik op de luchthaven was.. dus ik lette goed op want ik had geen zin om mijn gegevens onversleuteld te versturen en de site was via mijn VPN niet toegankelijk. Ik heb dus hen gemaild, met daarin de vraag of ik ook per mail kon bestellen, omdat de verbinding met de site zelf onbeveiligd was en er geen https geboden werd. Ik kreeg een antwoord terug, dat zoiets helemaal niet belangrijk is, onzin is, en dat bestellen gewoon al tijden werkt...
Uiteindelijk dus maar bij iemand anders mijn bestelling geplaatst.

Wie weet maken de browserwaarschuwingen de hosters nu ook meer attent.. ik hoop het.

[Reactie gewijzigd door Hans van Eijsden op 24 januari 2017 19:02]

Wat ik werkelijk waar niet snap, is waarom er nog steeds geen open wifi (zonder wachtwoord) protocol is waarbij je automatisch wÚl een versleutelde verbinding tot het AP hebt.
Is dat niet WPS?
Daarvoor heb je toegang tot het AP nodig om te verbinden (knop indrukken); iets wat me op een openbare locatie onwenselijk lijkt.

[Reactie gewijzigd door field33P op 25 januari 2017 08:13]

Kan wel iets rond geregeld worden lijkt me (knop op afstand van de AP of iets dergelijks). Mijn punt was dat er al zoiets bestaat, het wordt gewoon niet gebruikt in deze situatie.
Dat lijkt me niet echt werkbaar. Het doel van WPS is een wachtwoord uitwisseling om alleen een apparaat toe te voegen wanneer je dat zelf wilt.

Ik zoek een automatische tijdelijke beveiligde verbinding die altijd toegestaan wordt; open Ún beveiligd.
Helmaal me eens!

Ik vind het overigens wel vrij onopvallend. Maar in ieder geval beter dan op chrome. Zou van mij iets duidelijker in browser mogen worden aangegeven. Zo'n foute webwinkel als jouw voorbeeld wordt hier niet heel erg door ontmoedigd.
En de enige "keurmerk" die op de site genoemd wordt is Qshops, waar de website niet al te betrouwbaar van is.

Dat en dat die webshop zelf bewust laks is met beveiliging zegt al wat over het keurmerk Qshops zelf.
Alle hanterende zogenaamde keuringen voor webshops waar onder Qshops is wasse neus
niet toegankelijk via vpn?

ik gebruik voor vpn-services op mijn mobieltje en laptop gewoon m'n thuisnetwerk.
je kan gewoon een machine met win vista / 7 /8 / 10 pro inschakelen als vpn server. Je hoeft dan niet elke maand te betalen voor die diensten en je hebt het zelf in de hand.
je max download speed hangt uiteraard wel vast aan de max upload speed van je thuisverbinding, als je dus zeer trage upload hebt is het wel niet aan te raden, maar vanaf 1mbit upload kom je toch al aardig weg op zowat alle sites die niet flash-oriented zijn.
Op veel openbare netwerken maar ook scholen e.d. wordt alles behalve tcp/80 en tcp/443 en geblokkeerd, waardoor de meeste vpn oplossingen niet werken.

Daarom draai ik thuis OpenVPN op poort 443. De meeste firewalls/blokkeeroplossingen doen geen moeite om web-ssl van openvpn-ssl te onderscheiden (ookal is dat best makkelijk) ;)
Hoe kan zo'n website een "keurmerk" krijgen ('Qshops keurmerk') ?
(Of val ik nu met open ogen in "wij van wc-eend ... ")
[edit]
Gaat bij qshops keurmerk ook lekker:
Fatal error: Call to undefined function base_url() in /home/qshops/domains/qshops.org/public_html/system/core/Exceptions.php on line 117

[Reactie gewijzigd door cemtex op 24 januari 2017 21:46]

Was de mail wel beveiligd dan? Dat werkt volgens mij toch ook alleen bij bepaalde domeinen die de juiste beveiligingen ge´mplementeerd hebben? Zou niet echt verwachten dat een winkel met zo'n instelling dat wel goed geregeld heeft.
Als de verbinding tussen jou en de mailserver wel beveiligd is, is dat probleem al minder groot. De kans dat iemand op een drukke openbare wifi snifft is groter dan iemand tussen jouw mailserver en een andere.
Hmm dat is waar inderdaad, goed punt :)
Niet belangerijk? Gewoon strafbaar. Misschien eventjes tippen bij het CBP?

[Reactie gewijzigd door TVH7 op 25 januari 2017 01:48]

Wat heeft het Centraal Planbureau ermee te maken?
College Bescherming Persoonsgegevens (CBP) is de enige juiste.
Dat is niet correct, sinds vorig jaar heet men Autoriteit Persoonsgegevens. Zie ook deze link.
Goed dat bedrijven mensen gaan waarschuwen voor onveilige verbindingen. Ik vraag me echter wel af of consumenten hier echt iets mee gaan doen, want de meeste mensen denken toch niets te verbergen te hebben. Bovendien kijken ze daar waarschijnlijk niet heel erg naar, maar ik vind het toch goed dat ze de consumenten hier wel op willen wijzen.
Volgens de Nederlandse wet ben je verplicht om een beveiligde verbinding te gebruiken zodra bezoekers de mogelijkheid hebben om hun gegevens naar jouw server te versturen. Niet alleen webshops hebben die verplichting, maar ook websites met een contactformulier of gastenboek. Er staat overigens niet expliciet in de wet dat je een SSL certificaat moet gebruiken; enkel 'een beveiligde verbinding'. Boetes kunnen oplopen tot duizenden euro's per overtreding.
Het gaat gewoon om persoonsgegevens. Dat er beveiligde verbindingen voor nodig waren is al heel lang bekend en ook helemaal niets geks. Er moet gewoon netje en veilig mee omgegaan worden.
Ging (en gaat) dat niet met name over bijzondere persoonsgegevens? Zoals onder andere medische gegevens.

Voor bijzondere persoonsgegevens gelden veel strengere eisen dan voor 'gewone'. Sterker nog, jouw nickname hierboven en de reactie die je geplaatst hebben vallen ook onder gewone persoonsgegevens.
Ze zijn tenslotte via-via (evt met hulp van je provider) te herleiden tot een echt persoon.
Ze gelden voor alles, voor zo ver ik weet. Je moet je best doen om ze veilig te houden, dat doe je met plain http niet.

Maar ik zou me als webbedrijf helemaal niet in zulk grijs legaal gebied willen begeven, vooral omdat het zo gigantisch simpel is tegenwoordig om dit te implementeren. Vooral op websites zonder user generated content, zoals een store.
De verplichtingen rond persoonsgegevens zaten in de 'Wet bescherming persoonsgegevens', die vziw sinds een paar jaar is opgevolgd door Europese wetten (die alleen maar strenger zijn geworden).

De kans dat er een specifiek een techniek wordt genoemd lijkt me klein, maar de plicht voor beveiligde verbindingen zit wel verweven in de boodschap. Ik vraag me alleen wel af of dat niet uitsluitend voor bijzondere persoonsgegevens gold/geldt (o.a. medische en raciale gegevens).
Als het goed is triggert het website beheerder om te zorgen dat er geen melding naar voren komt bij hun gebruikers.
Tenminste, die kan schat ik groter dan dat de consument hier daadwerkelijk iets mee gaat doen. Ik bedoel, een bestelling moet toch gedaan worden. Toch? :+
Heb misschien niets te verbergen (of toch wel... }> ) maar denk dat als mensen een melding krijgen van hun browser dat er iets niet helemaal klopt, dat ze sneller geneigd zullen zijn om naar een andere site hun aankopen o.i.d. te doen.
Via de FTP-server van Mozilla is hij al te downloaden: https://ftp.mozilla.org/pub/firefox/releases/51.0/

Een artikel waar de veranderingen in deze release worden uitgelegd:

https://www.bleepingcompu...-2-and-improved-security/

[Reactie gewijzigd door AnonymousWP op 24 januari 2017 18:44]

De update is gewoon al beschikbaar vanuit Help Menu > About > Update to 51. Heb je ff nog niet ge´nstalleerd dan is jou link uiteraard wel handig.
Ik krijg op die plek gewoon de melding "Firefox is up to date" :/
[offtopic]
Wat is er eigenlijk FTP aan deze https link?
De manier waarop het mogelijk geŘpload is?
Dan zou je zowat iedere website een FTP-server kunnen noemen.
Of gaan we af op de naam van het subdomein?
Via ftp://ftp.mozilla.org is de link in ieder geval niet te benaderen.

[Reactie gewijzigd door SWINX op 24 januari 2017 19:31]

FTP toegang staat sinds 5 augustus 2015 uit: https://support.mozilla.org/nl/questions/1078139. Eigenlijk moet je https://archive.mozilla.org gebruiken.
Bedankt voor de link!
FTP-server* bedoel je neem ik aan ;)
Graag gedaan.

En oeps, inderdaad. Tikfoutje :p.
De vraag naar gratis SSL certificaten bij Let's Encrypt zal snel stijgen vanaf nu verwacht ik.
Veel beter dan een onbeveiligde verbinding.
Mozilla heeft versie 51 van zijn Firefox-browser uitgebracht. Hierin wordt een waarschuwing gegeven als een website met loginformulier geen beveiligde verbinding heeft.
De browser controleert dus of er een html password field in de html code aanwezig is. Dat heb je bij loginpagina's, en ook bij paswoord wijzigen pagina's. Maar bij adreswijzigingen niet altijd, en nooit niet bij contactformulieren. Ik neem aan dat dit nog maar de eerste fase van waarschuwingen is. De laatste fase is de waarschuwing tonen bij elke pagina die over http geserveerd wordt.
Met de waarschuwingen voor http treedt Mozilla in de voetsporen van Google, die eerder iets vergelijkbaars deed in Chrome. De internetgigant voerde het waarschuwingsmechanisme in bij Chrome-versie 56.
Versie 56 is nog niet de stable-release van Chrome, dus volgens mij ligt Firefox hier voor ;) Maar meer dan terecht dat ze hier goed voor gaan waarschuwen, al is het nog maar met een klein icoontje. In versie 52 zal het opvallender worden en zal het waarschijnlijk pas echt effect sorteren.
Gezien let's encrypt bestaat - kan iedereen https doen - https is op zich wel geen garantie uiteraard. Het helpt een heel klein beetje om 't onderscheidt te maken, en houdt de domme prutsers (1% van de criminelen) tegen. Zo zie ik dat.
Als je op zoek bent naar een strak modern thema van Mozilla zelf (beschikbaar sinds FF51):
https://addons.mozilla.or...devedition-theme-enabler/
Zo te zien zijn de renderfouten die ik had op mijn laptop ook verdwenen (acer met aangepast chipset ofzo, kan iig de standaard intel driver niet installeren). Dat is voor mij een belangrijk punt. Eens kijken of ik terug naar firefox ga of gewoon opera blijf gebruiken als standaard browser. sowieso gebruik ik firefox altijd al voor de browserbased spelletjes (unity)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*