Chrome begint gebruikers te waarschuwen voor onveilige loginpagina's

Google heeft Chrome 56 uitgebracht, de eerste versie die gebruikers waarschuwt voor loginpagina's die geen gebruik maken van https. De zoekgigant had die functie enige maanden geleden al aangekondigd en nu krijgt de browser de update die het mogelijk maakt.

Chrome 56 - waarschuwing login-pagina'sDe waarschuwing bestaat uit de tekst 'Not secure' met een informatie-icoon ervoor naast de url-balk. De melding komt alleen naar boven op loginpagina's en niet op reguliere internetpagina's zonder certificaat.

Google zei in september dat het vanaf deze maand de functie in Chrome 56 zou activeren. Dat moet voorkomen dat mensen hun gegevens invullen en die versturen via een onbeveiligde verbinding, waardoor ze makkelijker slachtoffer worden van phishing of man-in-the-middle aanvallen.

Google had al eerder het plan om een niet-https-pagina als onveilig weer te geven door middel van een slotje met een groot rood kruis erdoor. Sinds Google startte met zijn kruistocht tegen http-verbindingen zou vorige zomer een mijlpaal behaald zijn. Meer dan de helft van alle sites die via de desktopversie van Chrome laden, zouden via een https-verbinding geserveerd worden. Firefox voerde deze week een soortgelijke update door.

Door Arnoud Wokke

Redacteur

Feedback • 26-01-2017 14:4841

26-01-2017 • 14:48

41 Linkedin

Lees meer

Isp's Kazachstan moeten https-verkeer onderscheppen op last van overheid Nieuws van 19 juli 2019
Chrome verwijdert aanduiding 'veilig' in adresbalk bij https-sites Nieuws van 18 mei 2018
Chrome gaat vanaf juli sites zonder https als onveilig aanmerken Nieuws van 8 februari 2018
Chrome gaat gebruikers vaker waarschuwen bij http-sites Nieuws van 28 april 2017
Google brengt Chrome-update uit die 'onzichtbare' phishingaanval voorkomt Nieuws van 20 april 2017
Google begint eigen root-certificaatautoriteit Nieuws van 27 januari 2017
Mozilla waarschuwt voor http in Firefox 51 Nieuws van 24 januari 2017
Firefox gaat waarschuwingen tonen bij inloggen non-https-sites Nieuws van 24 november 2016
Google: meer dan de helft van Chrome-webverkeer op Windows via https Nieuws van 4 november 2016
Chrome gaat loginpagina's die geen https gebruiken als onveilig markeren Nieuws van 8 september 2016
Meer producten en artikelen
Browsers Google Chrome

Reacties (41)

-Moderatie-faq
41
41
27
0
0
6
Wijzig sortering
AnonymousWP
26 januari 2017 14:53
Bij deze update lijken er tevens ook wat probleempjes te zijn. Zo hebben whogivesashit en ik allebei problemen gehad met het updaten. Het probleem is als volgt:

Bij elke machine die ik update, krijg ik de melding (nadat de update klaar is): De installatie is mislukt. Probeer het opnieuw. (foutcode 7: 0x80040905 -- system level). Lijkt me dus een foutje in Chrome zelf. Zelf nog geen problemen ondervonden met betrekking tot de werking van Chrome.

Hier de changelog met veranderingen: downloads: Google Chrome 56.0.2924.76

En hier de changelog met beveiligingsproblemen die zijn opgelost: https://chromereleases.go...l-update-for-desktop.html

En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11. Dat vind ik persoonlijk wel een nadeel. Nu moet je eerst op "element inspecteren" (of F12 drukken) klikken (rechtermuisknop willekeurig op een pagina) en dan naar "security".

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 14:56]

Bonobo
@AnonymousWP26 januari 2017 15:23
En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11. Dat vind ik persoonlijk wel een nadeel. Nu moet je eerst op "element inspecteren" (of F12 drukken) klikken (rechtermuisknop willekeurig op een pagina) en dan naar "security".
Je kunt op "Details" of bij nederlands "Meer informatie" klikken kom je gelijk bij security overview uit.
.oisyn
@Bonobo26 januari 2017 15:38
Nee, dat was voorheen zo. Chrome 56 verwijst naar een webpagina.
AnonymousWP
@Bonobo26 januari 2017 15:25
Ja, dat klopt, maar dat is de pagina waarin staat uitgelegd wat wat nou betekent (een soort van legenda dus). Ik heb het over het volgende tabje wat ze hebben weggehaald als je op zo'n slotje klikt: https://i.stack.imgur.com/B05pc.png
Puch-Maxi
@AnonymousWP26 januari 2017 16:27
Dat viel mij ook al op, hoe moet je het beveiligingscertificaat nu bekijken? :D
AnonymousWP
@Puch-Maxi26 januari 2017 16:59
Je kunt op F12 drukken, of je kunt willekeurig op een pagina rechtermuisklik doen, en dan kiezen voor "inspecteren". Dan naar het tabje "security" en daar staat "view certificate".
Herjan
@AnonymousWP26 januari 2017 17:24
Als je de stappen van Bonobo volgt komt je toch in datzelfde tabje terecht? Dus "Details"/"Meer informatie" > "View certificate"
Edit: blijkbaar niet dus..

[Reactie gewijzigd door Herjan op 26 januari 2017 17:29]

AnonymousWP
@Herjan26 januari 2017 17:25
Nee, dat was voorheen zo. Bij Chrome 56 verwijst hij naar een webpagina. Zoals ik hier al zei: AnonymousWP in 'nieuws: Chrome begint gebruikers te waarschuwen voor onveilig...
Snake
@AnonymousWP26 januari 2017 15:01
Computer herstarten (of alle Chrome.exe processen sluiten) en dan 'Help' > 'About Google Chrome'.

Dan kan je op 'Relaunch' duwen voor te updaten.
.oisyn
@Snake26 januari 2017 15:17
Gewoon F5 op de about pagina werkt ook hoor ;)
AnonymousWP
@Snake26 januari 2017 15:03
Dat heb ik dus geprobeerd, maar dat stond er niet. Bij mij kwam er meteen te staan "Google Chrome is bijgewerkt". Dat werkt dus niet. De update is gister al gedaan, dus heeft het nu nog weinig zin :p.

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 15:05]

GingerLionXx
@AnonymousWP26 januari 2017 14:55
Heb even gekeken. Geldt ook voor alle pc's die ik heb.
heervristi
@AnonymousWP26 januari 2017 15:07
Ik had ook dat probleem. Even de pagine refreshen en er stond een button om chrome te relaunchen.
.oisyn
@AnonymousWP26 januari 2017 15:20
En oja. Nog een dingetje: als je nu op een groen slotje wilt klikken, krijg je niet meer de optie om het certificaat in te zien, maar krijg je het volgende: http://imgur.com/lPH4o11.
Waardeloos ja :(. Ze hadden het al wat moeilijker gemaakt door een extra klik toe te voegen die een menu aan de rechterkant opende, maar nu is hij helemaal niet meer daar op te vragen.

Ik kan dit werkelijk niet begrijpen. Gaan ze zo prat op veiligheid, maar maken ze het inspecteren van een daadwerkelijk certificaat alleen beschikbaar met een enorme omweg.
AnonymousWP
@.oisyn26 januari 2017 15:22
Volledig mee eens, maar wat ik ook erg mis, is het "statistieken voor nerds" hyperlinkje in taakbeheer van Chrome. Daar kon je het RAM-verbruik etc perfect zien, maar dat kan al sinds versie 50 (?) niet meer. :(
don_jorg
26 januari 2017 14:53
Op zich een goed initiatief. Bij een normale webpagina maakt het me niet zoveel uit of het beveiligd is, maar zeker bij een inlogpagina (en de pagina's daarna, natuurlijk), is het essentieel dat de verbinding beveiligd is.

Echter, als ik zo naar de screenshot kijk, had het van mij wel opvallender gemogen. Knalrood, bijvoorbeeld. Het verschil met 'Secure' (wat ik op dit moment in mijn browser zie) en deze uiting is wel érg klein. Hopelijk passen ze dat nog aan in een komende release.
MadEgg
@don_jorg26 januari 2017 15:06
IMO niet alleen bij login-pagina's. Bij álle pagina's met een form erop, of <input>, <select> of <textarea>-elementen zou deze waarschuwing tevoorschijn moeten komen.

Gewoon browsen en lezen is nog iets voor te zeggen om daar geen https te vereisen maar op het moment dat je inhoudelijk informatie gaat sturen naar de server mag daar best op geattendeerd worden. Nog wel iets opvallender dan deze melding inderdaad.

Maar goed, ik neem aan dat dit een eerste stap is en dat de waarschuwingen nog wel opgeschroefd worden de komende tijd.
.oisyn
@MadEgg26 januari 2017 15:25
IMO niet alleen bij login-pagina's. Bij álle pagina's met een form erop, of <input>, <select> of <textarea>-elementen zou deze waarschuwing tevoorschijn moeten komen.
Dat lijkt iig niet het geval: hier staat een <textarea>, maar Chrome zegt niet "non secure" in tekst. Ik denk dat er iig een form moet zijn die je kunt submitten.

[Reactie gewijzigd door .oisyn op 26 januari 2017 15:25]

MadEgg
@.oisyn26 januari 2017 15:27
Ik bedoelde vooral dat naar mijn mening het zo zou moeten zijn ;) Wat ik uit dit artikel begrijp is het op dit moment alleen zo dat als er een 'password'-veld is deze waarschuwing verschijnt.
anargeek
@don_jorg26 januari 2017 14:59
"Not secure" betekent niet per definitie dat het onveilig is om de site te bezoeken, enkel dat de verbinding niet beveiligd is. Bij paginas waarvan Chrome met grote zekerheid kan zeggen dat ze echt onveilig zijn (zoals fake-loginpaginas voor bekende websites) worden veel harder geblokkeerd met een knalrode pagina.
Oranje of plasgeel had wel duidelijker geweest dan wit, dat ben ik eens. Meer een "Notice" dan een "Warning"

[Reactie gewijzigd door anargeek op 26 januari 2017 15:00]

Anoniem: 705078
@don_jorg26 januari 2017 15:04
Als de website een onbeveiligde hoofdpagina heeft maakt het je niks uit dat de inlogpagina daarna wel beveiligd is?
Je bent er altijd zeker van dat het geen MITM attack kan zijn of via de hoofdpagina een kwaadwillende gebruiker de gegevens van je beveiligde inlogpagina steelt die elders op het systeem staan bijv?
FvdM
@don_jorg26 januari 2017 15:12
Je kan het deels zelf instellen met [url]chrome://flags/#mark-non-secure-as[/url], bijvoorbeeld 'HTTP altijd markeren als gevaarlijk' maakt de alert opvallender. Ik denk dat dat de standaard wordt in de volgende stap in Google's campagne naar HTTPS-only.

Edit:
de link kopiëren want Tnet heeft de : eruit gevist

[Reactie gewijzigd door FvdM op 26 januari 2017 15:16]

boss-20
26 januari 2017 15:09
Vind het initiatief goed. Wel vind ik het soms erg storend dat ik als dev een irritante melding krijg wanneer ik op sites met self-signed certs kom. Zit er een optie in Chrome om dit uit te schakelen bijv. voor bepaalde adressen?
.oisyn
@boss-2026 januari 2017 15:23
Volgens mij niet. Wat je wel kunt doen is de certificaten toevoegen aan de certificate store op je OS. Of beter nog, gebruik een self-signed CA die de certificaten uitgeeft, zodat je alleen die CA hoeft toe te voegen.
boss-20
@.oisyn26 januari 2017 15:25
Dankje oisyn. Dat is inderdaad ook nog een optie. Dat laatste heeft toch wel als risico dat een malafide site die dezelfde CA gebruikt ook tussen mijn exceptions komt :P ?
.oisyn
@boss-2026 januari 2017 15:27
Ik heb het over software die je kunt installeren op een PC die ook CA certs kan genereren, en die dan gebruiken om certs te ondertekenen. Bij die CA cert hoort een private key, waar natuurlijk alleen die PC over beschikt ;). Dat kan bijvoorbeeld met OpenSSL. Meer info.

Zelf gebruik ik dit tooltje voor Windows voor de certs voor bijvoorbeeld mijn NAS. Is wat praktischer dan die OpenSSL command line :)

[Reactie gewijzigd door .oisyn op 26 januari 2017 15:31]

boss-20
@.oisyn26 januari 2017 15:29
Ah, got it. Thanks!
AnonymousWP
@boss-2026 januari 2017 15:10
Misschien kun je hier eens tussen kijken: chrome://flags/#allow-insecure-localhost
Mac, Windows, Linux, Chrome OS, Android
Hiermee worden verzoeken aan localhost via HTTPS toegestaan, ook als er een ongeldig certificaat wordt gepresenteerd.

[Reactie gewijzigd door AnonymousWP op 26 januari 2017 15:20]

boss-20
@AnonymousWP26 januari 2017 15:13
Dank. Voor localhost is de mogelijkheid er zie ik, hoewel ik dat niet veel gebruik is biedt het enigszins verlichting.

"Ongeldige certificaten toestaan voor bronnen die worden geladen via localhost. Mac, Windows, Linux, Chrome OS, Android
Hiermee worden verzoeken aan localhost via HTTPS toegestaan, ook als er een ongeldig certificaat wordt gepresenteerd. #allow-insecure-localhost"
MadEgg
@boss-2026 januari 2017 15:26
In Firefox heb ik een onvertrouwd certificaat geïmporteerd als vertrouwde CA, sindsdien wordt die geaccepteerd.

Geen idee hoe het in Chrome werkt - in Firefox krijg je bij een self-signed certificaat of ongedlig certificaat een waarschuwing en kun je vervolgens kiezen om dat certificaat eenmalig te accepteren of te accepteren en te onthouden.

De reden dat ik moeilijk moest doen is omdat mijn DNS-server ajax.googleapis.com omleidt naar zichzelf waar een mirror draait (anti-tracking maatregel). Aangezien ajax.googleapis.com HSTS aan heeft staan en pre-loaded is krijg ik daarvoor de mogelijkheid niet om mijn eigen certificaat te vertrouwen. Door het certificaat te importeren als CA wordt mijn self-signed certificaat alsnog geaccepteerd }:O

Ik dacht dat Chrome de systeem-lijst van vertrouwde CA's gebruikt daar waar Firefox zijn eigen lijst bijhoudt, in dat geval moet het vast net iets anders maar er is vast een weg omheen te vinden.

#allow-insecure-localhost klinkt in ieder geval als een fijne optie, die zou Firefox ook wel kunnen gebruiken wmb.

[Reactie gewijzigd door MadEgg op 26 januari 2017 15:26]

pizzafried
26 januari 2017 15:24
eh..bij lokaal testen, krijgen we die popup dan ook?
AnonymousWP
@pizzafried26 januari 2017 15:52
Dat kan je hier uitzetten: chrome://flags/#allow-insecure-localhost
ATS
26 januari 2017 16:40
Wat mij betreft is de PlainTextOffenders plugin zinvoller. Het gaat om veel meer dan alleen of de site https gebruikt of niet...
Anoniem: 474132
26 januari 2017 15:43
Hoe werkt dat met die fake bank inlogsites? Zijn die nooit https? Een fake bank https inlogsite krijg dan dus niet het 'Not Secure' inlogkenmerk van Google Chrome. Denk dat je dan alsnog best een reden hebt om Google te vervolgen voor misleiding.
TeamTechSupport
@Anoniem: 47413226 januari 2017 15:48
Deze bestellen vaak een simpele SSL certificaat op een (bijna) gelijknamige site.
Ze kunnen gewoon een consumenten versie SSL certificaat bestellen voor specifiek ing.fakelogin.nl vor 10 euro, en dan zijn ze al om dat groot rode kruis heen.
WCA
@TeamTechSupport26 januari 2017 16:40
Het kan zelfs gratis, met bijvoorbeeld let's encrypt
MadEgg
@Anoniem: 47413226 januari 2017 15:50
Waarom? Google geeft al een waarschuwing bij bekende kwaadaardige sites, maar ze kunnen ook niet alles weten.

Het enige wat een 'secure connection' betekent is dat je een veilige verbinding hebt tussen je browser en de server die hoort bij de domeinnaam die in je adresbalk staat. Als er een verkeerde domeinnaam in de adresbalk staat kan je browser daar vrij weinig aan doen. Je communicatie met de server kan onderweg nog steeds niet afgeluisterd worden en de server is wie hij zegt dat hij is. Dat de content op die site claimt wat anders te zijn (je eigen bank bijvoorbeeld), daar heeft HTTPS niets mee te maken.
Anoniem: 474132
@MadEgg26 januari 2017 16:06
Dat weet ik, maar weet de achteloze consument dat ook die op Google vertrouwt, bekend raakt met het prominente 'Not Secure' in zn browser userinterface, en vervolgens bij twijfel of een (fake) bank inlogsite nep is of niet, met het ontbreken van de 'Not Secure' melding door Google Chrome net dat zetje in zn bewustwordingsproces krijgt om alsnog in te loggen want de site is immers OK anders had Google wel gezegd dat ie 'Not Secure' was zoals laatst bij die amateuristisch opgezette fake bank site zonder https....
Anoniem: 858451
@Anoniem: 47413227 januari 2017 02:21
Inderdaad, je kan gemakkelijk een hele Seinfeld-aflevering vullen met het verschil tussen fake en not secure. Voor meeste gebruikers 1 pot nat. Dit levert alleen maar meer verwarring op, en de criminelen zijn daar blij mee.
Mir64za
26 januari 2017 15:16
Ik weet niet of meerdere gebruikers er last van hebben maar ik als ik op een url klik op chrome zoals een link naar een artikel en komt een soort blauw vakje op me scherm het lijkt of het display flikkert maar alleen in chrome is dit is dit uit tezetten? Dat er geen blauw vakje komt het is heel licht blauw vroeger had ik er nooit last van
Anoniem: 858451
27 januari 2017 02:16
"Peter en de wolf" effect.
Te veel waarschuwingen geven, leidt er toe dat gebruikers waarschuwingen negeren. Wanneer er echt iets aan de hand is, denken mensen "het zal wel weer vals alarm zijn".

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee