Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome begint gebruikers te waarschuwen voor onveilige loginpagina's

Door , 41 reacties

Google heeft Chrome 56 uitgebracht, de eerste versie die gebruikers waarschuwt voor loginpagina's die geen gebruik maken van https. De zoekgigant had die functie enige maanden geleden al aangekondigd en nu krijgt de browser de update die het mogelijk maakt.

Chrome 56 - waarschuwing login-pagina'sDe waarschuwing bestaat uit de tekst 'Not secure' met een informatie-icoon ervoor naast de url-balk. De melding komt alleen naar boven op loginpagina's en niet op reguliere internetpagina's zonder certificaat.

Google zei in september dat het vanaf deze maand de functie in Chrome 56 zou activeren. Dat moet voorkomen dat mensen hun gegevens invullen en die versturen via een onbeveiligde verbinding, waardoor ze makkelijker slachtoffer worden van phishing of man-in-the-middle aanvallen.

Google had al eerder het plan om een niet-https-pagina als onveilig weer te geven door middel van een slotje met een groot rood kruis erdoor. Sinds Google startte met zijn kruistocht tegen http-verbindingen zou vorige zomer een mijlpaal behaald zijn. Meer dan de helft van alle sites die via de desktopversie van Chrome laden, zouden via een https-verbinding geserveerd worden. Firefox voerde deze week een soortgelijke update door.

Reacties (41)

Wijzig sortering
Bij deze update lijken er tevens ook wat probleempjes te zijn. Zo hebben whogivesashit en ik allebei problemen gehad met het updaten. Het probleem is als volgt:

Bij elke machine die ik update, krijg ik de melding (nadat de update klaar is): De installatie is mislukt. Probeer het opnieuw. (foutcode 7: 0x80040905 -- system level). Lijkt me dus een foutje in Chrome zelf. Zelf nog geen problemen ondervonden met betrekking tot de werking van Chrome.

Hier de changelog met veranderingen: downloads: Google Chrome 56.0.2924.76

En hier de changelog met beveiligingsproblemen die zijn opgelost: https://chromereleases.go...l-update-for-desktop.html

En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11. Dat vind ik persoonlijk wel een nadeel. Nu moet je eerst op "element inspecteren" (of F12 drukken) klikken (rechtermuisknop willekeurig op een pagina) en dan naar "security".

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 14:56]

En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11. Dat vind ik persoonlijk wel een nadeel. Nu moet je eerst op "element inspecteren" (of F12 drukken) klikken (rechtermuisknop willekeurig op een pagina) en dan naar "security".
Je kunt op "Details" of bij nederlands "Meer informatie" klikken kom je gelijk bij security overview uit.
Nee, dat was voorheen zo. Chrome 56 verwijst naar een webpagina.
Ja, dat klopt, maar dat is de pagina waarin staat uitgelegd wat wat nou betekent (een soort van legenda dus). Ik heb het over het volgende tabje wat ze hebben weggehaald als je op zo'n slotje klikt: https://i.stack.imgur.com/B05pc.png
Dat viel mij ook al op, hoe moet je het beveiligingscertificaat nu bekijken? :D
Je kunt op F12 drukken, of je kunt willekeurig op een pagina rechtermuisklik doen, en dan kiezen voor "inspecteren". Dan naar het tabje "security" en daar staat "view certificate".
Als je de stappen van Bonobo volgt komt je toch in datzelfde tabje terecht? Dus "Details"/"Meer informatie" > "View certificate"
Edit: blijkbaar niet dus..

[Reactie gewijzigd door Herjan op 26 januari 2017 17:29]

Nee, dat was voorheen zo. Bij Chrome 56 verwijst hij naar een webpagina. Zoals ik hier al zei: AnonymousWP in 'nieuws: Chrome begint gebruikers te waarschuwen voor onveilig...
Computer herstarten (of alle Chrome.exe processen sluiten) en dan 'Help' > 'About Google Chrome'.

Dan kan je op 'Relaunch' duwen voor te updaten.
Gewoon F5 op de about pagina werkt ook hoor ;)
Dat heb ik dus geprobeerd, maar dat stond er niet. Bij mij kwam er meteen te staan "Google Chrome is bijgewerkt". Dat werkt dus niet. De update is gister al gedaan, dus heeft het nu nog weinig zin :p.

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 15:05]

Heb even gekeken. Geldt ook voor alle pc's die ik heb.
Ik had ook dat probleem. Even de pagine refreshen en er stond een button om chrome te relaunchen.
En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11.
Waardeloos ja :(. Ze hadden het al wat moeilijker gemaakt door een extra klik toe te voegen die een menu aan de rechterkant opende, maar nu is hij helemaal niet meer daar op te vragen.

Ik kan dit werkelijk niet begrijpen. Gaan ze zo prat op veiligheid, maar maken ze het inspecteren van een daadwerkelijk certificaat alleen beschikbaar met een enorme omweg.
Volledig mee eens, maar wat ik ook erg mis, is het "statistieken voor nerds" hyperlinkje in taakbeheer van Chrome. Daar kon je het RAM-verbruik etc perfect zien, maar dat kan al sinds versie 50 (?) niet meer. :(
Op zich een goed initiatief. Bij een normale webpagina maakt het me niet zoveel uit of het beveiligd is, maar zeker bij een inlogpagina (en de pagina's daarna, natuurlijk), is het essentieel dat de verbinding beveiligd is.

Echter, als ik zo naar de screenshot kijk, had het van mij wel opvallender gemogen. Knalrood, bijvoorbeeld. Het verschil met 'Secure' (wat ik op dit moment in mijn browser zie) en deze uiting is wel érg klein. Hopelijk passen ze dat nog aan in een komende release.
IMO niet alleen bij login-pagina's. Bij álle pagina's met een form erop, of <input>, <select> of <textarea>-elementen zou deze waarschuwing tevoorschijn moeten komen.

Gewoon browsen en lezen is nog iets voor te zeggen om daar geen https te vereisen maar op het moment dat je inhoudelijk informatie gaat sturen naar de server mag daar best op geattendeerd worden. Nog wel iets opvallender dan deze melding inderdaad.

Maar goed, ik neem aan dat dit een eerste stap is en dat de waarschuwingen nog wel opgeschroefd worden de komende tijd.
IMO niet alleen bij login-pagina's. Bij álle pagina's met een form erop, of <input>, <select> of <textarea>-elementen zou deze waarschuwing tevoorschijn moeten komen.
Dat lijkt iig niet het geval: hier staat een <textarea>, maar Chrome zegt niet "non secure" in tekst. Ik denk dat er iig een form moet zijn die je kunt submitten.

[Reactie gewijzigd door .oisyn op 26 januari 2017 15:25]

Ik bedoelde vooral dat naar mijn mening het zo zou moeten zijn ;) Wat ik uit dit artikel begrijp is het op dit moment alleen zo dat als er een 'password'-veld is deze waarschuwing verschijnt.
"Not secure" betekent niet per definitie dat het onveilig is om de site te bezoeken, enkel dat de verbinding niet beveiligd is. Bij paginas waarvan Chrome met grote zekerheid kan zeggen dat ze echt onveilig zijn (zoals fake-loginpaginas voor bekende websites) worden veel harder geblokkeerd met een knalrode pagina.
Oranje of plasgeel had wel duidelijker geweest dan wit, dat ben ik eens. Meer een "Notice" dan een "Warning"

[Reactie gewijzigd door anargeek op 26 januari 2017 15:00]

Als de website een onbeveiligde hoofdpagina heeft maakt het je niks uit dat de inlogpagina daarna wel beveiligd is?
Je bent er altijd zeker van dat het geen MITM attack kan zijn of via de hoofdpagina een kwaadwillende gebruiker de gegevens van je beveiligde inlogpagina steelt die elders op het systeem staan bijv?
Je kan het deels zelf instellen met chrome://flags/#mark-non-secure-as, bijvoorbeeld 'HTTP altijd markeren als gevaarlijk' maakt de alert opvallender. Ik denk dat dat de standaard wordt in de volgende stap in Google's campagne naar HTTPS-only.

Edit:
de link kopiëren want Tnet heeft de : eruit gevist

[Reactie gewijzigd door FvdM op 26 januari 2017 15:16]

Vind het initiatief goed. Wel vind ik het soms erg storend dat ik als dev een irritante melding krijg wanneer ik op sites met self-signed certs kom. Zit er een optie in Chrome om dit uit te schakelen bijv. voor bepaalde adressen?
Volgens mij niet. Wat je wel kunt doen is de certificaten toevoegen aan de certificate store op je OS. Of beter nog, gebruik een self-signed CA die de certificaten uitgeeft, zodat je alleen die CA hoeft toe te voegen.
Dankje oisyn. Dat is inderdaad ook nog een optie. Dat laatste heeft toch wel als risico dat een malafide site die dezelfde CA gebruikt ook tussen mijn exceptions komt :P ?
Ik heb het over software die je kunt installeren op een PC die ook CA certs kan genereren, en die dan gebruiken om certs te ondertekenen. Bij die CA cert hoort een private key, waar natuurlijk alleen die PC over beschikt ;). Dat kan bijvoorbeeld met OpenSSL. Meer info.

Zelf gebruik ik dit tooltje voor Windows voor de certs voor bijvoorbeeld mijn NAS. Is wat praktischer dan die OpenSSL command line :)

[Reactie gewijzigd door .oisyn op 26 januari 2017 15:31]

Ah, got it. Thanks!
Misschien kun je hier eens tussen kijken: chrome://flags/#allow-insecure-localhost
Mac, Windows, Linux, Chrome OS, Android
Hiermee worden verzoeken aan localhost via HTTPS toegestaan, ook als er een ongeldig certificaat wordt gepresenteerd.

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 15:20]

Dank. Voor localhost is de mogelijkheid er zie ik, hoewel ik dat niet veel gebruik is biedt het enigszins verlichting.

"Ongeldige certificaten toestaan voor bronnen die worden geladen via localhost. Mac, Windows, Linux, Chrome OS, Android
Hiermee worden verzoeken aan localhost via HTTPS toegestaan, ook als er een ongeldig certificaat wordt gepresenteerd. #allow-insecure-localhost"
In Firefox heb ik een onvertrouwd certificaat geďmporteerd als vertrouwde CA, sindsdien wordt die geaccepteerd.

Geen idee hoe het in Chrome werkt - in Firefox krijg je bij een self-signed certificaat of ongedlig certificaat een waarschuwing en kun je vervolgens kiezen om dat certificaat eenmalig te accepteren of te accepteren en te onthouden.

De reden dat ik moeilijk moest doen is omdat mijn DNS-server ajax.googleapis.com omleidt naar zichzelf waar een mirror draait (anti-tracking maatregel). Aangezien ajax.googleapis.com HSTS aan heeft staan en pre-loaded is krijg ik daarvoor de mogelijkheid niet om mijn eigen certificaat te vertrouwen. Door het certificaat te importeren als CA wordt mijn self-signed certificaat alsnog geaccepteerd }:O

Ik dacht dat Chrome de systeem-lijst van vertrouwde CA's gebruikt daar waar Firefox zijn eigen lijst bijhoudt, in dat geval moet het vast net iets anders maar er is vast een weg omheen te vinden.

#allow-insecure-localhost klinkt in ieder geval als een fijne optie, die zou Firefox ook wel kunnen gebruiken wmb.

[Reactie gewijzigd door MadEgg op 26 januari 2017 15:26]

eh..bij lokaal testen, krijgen we die popup dan ook?
Dat kan je hier uitzetten: chrome://flags/#allow-insecure-localhost
Wat mij betreft is de PlainTextOffenders plugin zinvoller. Het gaat om veel meer dan alleen of de site https gebruikt of niet...
Hoe werkt dat met die fake bank inlogsites? Zijn die nooit https? Een fake bank https inlogsite krijg dan dus niet het 'Not Secure' inlogkenmerk van Google Chrome. Denk dat je dan alsnog best een reden hebt om Google te vervolgen voor misleiding.
Deze bestellen vaak een simpele SSL certificaat op een (bijna) gelijknamige site.
Ze kunnen gewoon een consumenten versie SSL certificaat bestellen voor specifiek ing.fakelogin.nl vor 10 euro, en dan zijn ze al om dat groot rode kruis heen.
Het kan zelfs gratis, met bijvoorbeeld let's encrypt
Waarom? Google geeft al een waarschuwing bij bekende kwaadaardige sites, maar ze kunnen ook niet alles weten.

Het enige wat een 'secure connection' betekent is dat je een veilige verbinding hebt tussen je browser en de server die hoort bij de domeinnaam die in je adresbalk staat. Als er een verkeerde domeinnaam in de adresbalk staat kan je browser daar vrij weinig aan doen. Je communicatie met de server kan onderweg nog steeds niet afgeluisterd worden en de server is wie hij zegt dat hij is. Dat de content op die site claimt wat anders te zijn (je eigen bank bijvoorbeeld), daar heeft HTTPS niets mee te maken.
Dat weet ik, maar weet de achteloze consument dat ook die op Google vertrouwt, bekend raakt met het prominente 'Not Secure' in zn browser userinterface, en vervolgens bij twijfel of een (fake) bank inlogsite nep is of niet, met het ontbreken van de 'Not Secure' melding door Google Chrome net dat zetje in zn bewustwordingsproces krijgt om alsnog in te loggen want de site is immers OK anders had Google wel gezegd dat ie 'Not Secure' was zoals laatst bij die amateuristisch opgezette fake bank site zonder https....
Inderdaad, je kan gemakkelijk een hele Seinfeld-aflevering vullen met het verschil tussen fake en not secure. Voor meeste gebruikers 1 pot nat. Dit levert alleen maar meer verwarring op, en de criminelen zijn daar blij mee.
Ik weet niet of meerdere gebruikers er last van hebben maar ik als ik op een url klik op chrome zoals een link naar een artikel en komt een soort blauw vakje op me scherm het lijkt of het display flikkert maar alleen in chrome is dit is dit uit tezetten? Dat er geen blauw vakje komt het is heel licht blauw vroeger had ik er nooit last van
"Peter en de wolf" effect.
Te veel waarschuwingen geven, leidt er toe dat gebruikers waarschuwingen negeren. Wanneer er echt iets aan de hand is, denken mensen "het zal wel weer vals alarm zijn".

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*