Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google en Mozilla stoppen met tonen bedrijfsnaam in url-balk van browser

Google en Mozilla zijn van plan om in komende versies van hun Chrome- en Firefox-browser de Extended Validation-certificaten van https-websites niet meer te tonen in de url-balk. Bij sites met zo'n certificaat staat de bedrijfsnaam tussen het slotje en de url.

Mozilla wil de verandering doorvoeren vanaf Firefox-versie 70, die in oktober uitkomt. Google haalt de Extended Validation-informatie uit de url-balk van Chrome vanaf versie 77 die in september verschijnt. Beide browsers blijven de informatie weergeven als gebruikers op het slotje klikken.

De Extended Validation-certificaten werden in 2007 ingevoerd en zijn bedoeld voor https-websites. Bedrijven kunnen bij een certificatenautoriteit tegen betaling een proces aanvragen om in aanmerking te komen voor zo'n certificaat. Na controle en goedkeuring wordt dan de bedrijfsnaam weergegeven. Dat moet het voor consumenten duidelijk maken wie de website beheert.

In Nederland gebruiken bijvoorbeeld banken en de overheid Extended Validation-certificaten. Zo is op de DigiD-website te zien dat het een website van Logius is. De certificaten zijn bedoeld om websitebezoekers meer zekerheid te geven over waar ze zich bevinden, maar volgens sommige experts heeft dat weinig nut. Zo stelde beveiligingsonderzoeker Troy Hunt vorig jaar dat veel mensen er niet op letten mede omdat de tien grootste websites wereldwijd dergelijke certificaten niet gebruiken. Bovendien zijn de certificaten duur en veel bedrijven en instanties zijn ook weer gestopt met het gebruik ervan, merkte beveiligingsonderzoeker Scott Helme vorig jaar op.

Apple stopte vorig jaar al met het weergeven van de informatie in de url-balk en ook in Edge is de bedrijfsnaam niet in de balk te zien. De versies van Chrome en Firefox voor smartphones laten de informatie ook niet zien.

De komende verandering in Firefox 70

Door Julian Huijbregts

Nieuwsredacteur

13-08-2019 • 19:35

120 Linkedin Google+

Submitter: vanbroup

Reacties (120)

Wijzig sortering
Goed lezen is lastig.

Ik zei : een Ferrari is een auto.
Jij zegt : nee niet elke auto is een Ferrari..

En dat heb ik dus nooit gezegd. Lees het nog een keer.

Ik zeg : geen groen slotje is stoppen met browsen.
Ik zeg niet : Als het groen is is het goed.
Bij een bank geen groen slotje is stoppen met browsen.

Dat is wat je zegt. Helemaal mee eens, echter is dot door de doorsnee consument ook waar;

Het slotje is groen, het is veilig

Ondertussen is het een clone en niet veilig. Ik snap wat je zegt maar voor veel mensen is het systeem te ingewikkeld.
Als de trojan niet bekend is bij de proxy zal die m toch niet blokkeren, hoeveel proxies je er ook tussen zet. Als de trojan wel bekend is kunnen ze ook het hele domein blokkeren.
Als je bedrijf in je payload kan kijken... dan kan een hacker dat ook. Zeer slecht idee! Dat is de hele reden waarom backdoors dus zo'n slecht idee zijn.
Er zijn nog andere manieren om al je SSL verkeer uit te lezen zonder een ander certificaat uit te serveren: https://textslashplain.com/2019/08/11/spying-on-https/
Dus als jij naar (nu heeft die site het niet, maar als voorbeeld) Tweakers gaat, en er staat Persgroep, dan gaan alle alarmbellen af? Als je naar Google gaat en er komt Alphabet te staan?

Dan zullen er veel alarmbellen afgaan ben ik bang; een URL hoeft helemaal niet overeen te komen met de bedrijfsnaam... De voorbeelden die ik noem zijn misschien niet de beste omdat de Persgroep en Alphabet moederbedrijven zijn waardoor er in die certificaten mogelijk alsnog Tweakers of Google zou hebben gestaan, maar het komt regelmatig voor dat één bedrijf meerdere websites heeft.

Dat is misschien niet zo handig, maar wel de realiteit. Ik vermoed dat het mede de reden is dat browsers het niet meer weer (gaan) geven.

[Reactie gewijzigd door Paul op 14 augustus 2019 19:25]

Het zou bijv kunnen als je ben ingelogd en dan welkom <naam>.

Laten we maar hopen dat er nooit blockchain achterige oplossingen komen voor DNS registraties/aanpassingen.
So what? je gebruikersnaam maakt niets uit. je wachtwoord zijn alleen maar rare tekens zoals S^Ec*4yL3glk%zKC. Nou dan heb 1 site je inloggegevens. vervolgens zie je dat je naam er niet staat en ga je naar de goede site waar je het meteen aanpast.

Heb je geen wachtwoord generator met eigen kluis voor alle websites of zelfde wachtwoord op elke website moet je ook niet raar opkijken.
2 fouten:
- een gemiddeld wachtwoord ziet er niet zo uit en wordt op meerdere plaatsen gebruikt
- weinig mensen gaan steeds hun wachtwoord aanpassen

Zomaar je logingegevens bij een ander invullen is zeer gevaarlijk en dat zal het ook altijd blijven. Als je pech hebt ben je in een minuut of 5 meer accounts kwijt. Goed, in de praktijk zal het vaak meevallen. Maar wil je het risico lopen? Ik niet
Vandaar dus ook mijn aanvulling dat als je dat niet heb, je ook niet raar moet opkijken. Het is in 2019 vrij eenvoudig en normaal om het wel te hebben. Als je nu nog steeds een gemiddeld wachtwoord op meerdere plaatsen gebruik moet diegene juist worden aangepakt door dit soort praktijken. Website's moeten zich niet aanpassen om maar zo eenvoudig te blijven. De gebruiker moet zich aanpassen om veilig om te gaan met hun eigen gegevens.
“Meteen naar de goede site waar je het aanpast”: fout. Je bent op dat moment al te laat en de robot heeft je wachtwoord dan al weggemigreerd. en je recovery e-mail aangepast, en geprobeerd in te loggen met dezelfde gegevens bij alle Nederlandse banken, twitter, Facebook, etc.
Die mag dan toch ook inloggen met dezelfde gegevens? Daarom random wachtwoorden per site in een kluis en nooit 1 wachtwoord op meer dan 1 site gebruiken.
Daarmee heb je het eerste probleem nog niet opgelost. En de attitude van “dan moeten ze maar voelen” is waarom nerds gezien worden als eikels door de gemiddelde persoon.
Er zal ook niet 123 een oplossing voor zijn om het perfect te doen en het eerste probleem op te lossen. en stel er is daar wel een oplossing voor word erna wel weer op een andere manier gegevens buitgemaakt.

De gemiddelde persoon denkt ook dan moeten ze maar voelen bij filmpjes van criminelen die worden aangepakt, dus nee niet alleen nerds.

Die attitude is ontstaan doordat er 12309129392 nieuwsberichten zijn over inloggegevens buitmaken, niet alleen op nerdsites zoals tweakers maar ook op nu.nl waar de gemiddelde persoon zich bevindt. en dan alsnog denkt men niet van goh, laat ik dit is even wat beter aanpakken, ja dan moet je het maar voelen, want je krijgt het ze niet wijs door alleen dit soort nieuwsberichten te plaatsen.
Praktisch gezien komt het er wel op neer. Als je een EV certificaat aanschaft voornamelijk omdat browsers daarmee aantonen aan de gebruikers dat jij bent wie je zegt dat je bent, maar dat dat vervolgens weinig effect heeft, dan heeft het EV certificaat weinig effect. Het TLS verkeer wordt er niet veiliger / minder veilig van.

[Reactie gewijzigd door Zyphrax op 15 augustus 2019 19:06]

Het is heel moeilijk om te voorkomen dat de niet-legitieme site de gebruikersnaam die je invoert tegelijk invoert op de legitieme site om daarna het stukje "veilige informatie" zo door te spelen naar de phishing site.

Een EV cert mag dan duur zijn maar het staat ook voor het feit dat degene die hem presenteert is wie hij claimt te zijn en het verwijderen van EV informatie uit de adres balk zal veiligheid niet verbeteren.
(Voor hen die er wel opletten gaat de veiligheid achteruit, voor hen die er niet opletten die waren zich hoe dan ook onveilig aan het gedragen)
Het zal de veiligheid niet verbeteren, maar blijkbaar doet het überhaupt weinig voor de veiligheid. Mensen zien een slotje en denken al dat het veilig is, of het nou een gratis LetsEncrypt certificaat of een duur EV certificaat.

Er is duidelijk een betere oplossing nodig.
Wat is volgens jou dan de meerwaarde van www?

Ik kan begrijpen dat je wil dat www in de adresbalk staat wanneer de website zo aangeroepen wordt. Meer en meer zie je websites zonder www ervoor, want het voegt gewoon niets toe...


Het heeft niets te maken met verachterlijking zoals jij het benoemt, maar het feit dat browsers zich bewust worden van de zin en onzin van certificaten. EV is gewoon geldklopperij, zeker als het de gemiddelde internetgebruiker ook nog eens weinig zegt. Voor de zogenaamde voordelen voor de eigenaren van dergelijk certificaat moet je het al helemaal niet doen!
Precies je tweede alinea. Als de URL www bevat, dan zou de URL-balk dat ook moeten doen.

De vraag of je als website wel of geen www ervoor wil hebben is een hele andere, en lijkt me niet wat i-chat bedoelt :)

Zelf leid ik mensen die naar bedrijf.tld gaan om naar www.bedrijf.tld; het zit er bij mensen zo in dat een website met www begint; waarom vechten tegen de publieke opinie? Sterker nog, in de logging kom ik regelmatig aanroepen naar www.support.bedrijf.tld tegen ipv support.bedrijf.tld. Wat precies de reden is dat die DNS-records / virtualhost / ssl-certificaten bestaan...

[Reactie gewijzigd door Paul op 14 augustus 2019 19:32]

Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat
Ik dacht dat het zo werkte:
Een normaal certificaat geeft alleen maar aan dat je echt op de url zit die je in de adresbalk hebt. Als ik het domein "Rabobanlc.eu" aanvraag, kan ik een certificaat krijgen voor dit domein. Het "groende slotje" geeft dus aan dat je de, eventuele verkeerd getypte, ook echt bereikt hebt. Veel belangrijker dan veel mensen denken, want IP-pakketjes kunnen via allerlei routes jouw PC bereiken, en je kunt niet al die routes vertrouwen.
Een EV-certificaat geeft naast een URL, die iedereen aan kan vragen ook wat zekerheid over de aanvrager ervan. Als ik de eigenaar ben van "Rabobanlc NV" zou ik daar een EV-certificaat van kunnen krijgen? Het weergeven van die bedrijfsnaam lijkt me niet nutteloos, omdat het eenvoudiger te begrijpen is dan de url (die inmiddels wel eens geforward zou kunnen zijn naar "rabobank.secure.hypersecure.tk". Maar de bedrijfsnaam is nog steeds "Rabobanlc NV", een fout is daar redelijk te spotten. Als een browser nu alleen nog weergeeft dat ik een EV-certificaat heb, maar niet voor welk bedrijf, dan voegt dat toch helemaal niets toe?
Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.
Wat zegt het dan? Volgens mij wordt dat namelijk een beetje overschat.
Een EV-certificaat zegt vooral dat de eigenaar het geld had om er voor te betalen en een inschrijving heeft bij de Kamer van Koophandel (of zo iets). De friettent om de hoek kan ook een certificaat krijgen, en als die friettent toevallig Phillips of AbnAmro heet dan komt die naam op het certificaat.
Except not. Dat wordt er nu precies uitgefilterd voor die veel geld van een EV.

Waar jij het over hebt is de normale situatie met normale certificaten.
Except not. Dat wordt er nu precies uitgefilterd voor die veel geld van een EV.
Hoe werkt dat dan? Voor zover ik weet eigenlijk alleen maar over de technische aspecten van de controle. Niet over de vraag of een bepaalde bedrijfsnaam verwarrend kan zijn of niet.
Met de regels bedoel ik Guidelines For The Issuance And Management Of Extended Validation Certificates.

Sterker nog, daar staat in:
2.1.3.
Excluded Purposes
EV Certificates focus only on the identity of the Subject named in the Certificate, and not on the behavior of the Subject.
As such, an EV Certificate is
not
intended to provide any assurances, or otherwise represent or warrant:
(1)
That the Subject named
in the EV Certificate is actively engaged in doing business;
(2)
That the Subject named in the EV Certificate complies with applicable laws;
(3)
That the Subject named in the EV Certificate is trustworthy, honest, or reputable in its business dealings; or
(4)
That it is “safe” to do business with the Subject named in the EV Certificate.
Zo'n EV certificaat zegt dus niks over de betrouwbaarheid van de eigenaar. Het zegt alleen dat de aanvrager daadwerkelijk een bedrijf heeft met de aangegeven naam.
Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.
Apple maakt het slotje en de url groen bij EV. Ik vind dat een fijne en duidelijke indicatie.
ze tonen www. niet meer in Chrome maar google.com zal iedereen doorverwijzen naar www.google.com, oftewel vind je dat www. belangrijk, is oftewel niet.
Doorverwijzen zoals het hoort als het de bedoeling is, geen probleem mee.
Voor google vind ik dat nu niet belangrijk, voor mijn eigen spul wel. mijn www. subdomein resolved naar wat anders dan mijn 'naked' domein en dus vind ik het een beetje "meh"
offtopic:
Voor Safari gebruik ik de app
"TLS Inspector", kun je toch het certificaat bekijken via het Share icoon :)

[Reactie gewijzigd door mrdemc op 13 augustus 2019 20:54]

AMP is een webcomponent framework ontwikkeld door Google.
Korte samenvatting: als jij je aan de Google standaard houdt met een AMP website dan zorgt Google er voor dat jou website op hun servers gecached wordt. Als je dan word aangeklikt in de zoekmachine van Google staat je pagina sneller op je scherm ==> meer omzet.

Voor Google werkt dit natuurlijk weer op een paar manieren monopolie bevorderend:
Doordat je AMP (Google made) gebruikt hebben ze een grote vinger in de pap in de verdere ontwikkeling van het internet/www.
Doordat je AMP gebruikt wil je natuurlijk zo goed mogelijk gevonden worden in de Google zoekmachine, dan heb je er immers het meeste profijt van.
Je zit op de Google site, niet op de site zelf. Qua identificatie zie je dus ook netjes Google staan als je op een AMP website via Google zit.
Alle advertentie inkomsten, maar ook alle tracking/marketing info via een gecachte website geen lekker richting Google.

Nadelen van AMP:
Doordat je AMP (Google made) gebruikt hebben ze een grote vinger in de pap in de verdere ontwikkeling van het internet/www.
Doordat je AMP gebruikt wil je natuurlijk zo goed mogelijk gevonden worden in de Google zoekmachine, dan heb je er immers het meeste profijt van.
Je zit op de Google site, niet op de site zelf. Qua identificatie zie je dus ook netjes Google staan als je op een AMP website via Google zit.
Alle advertentie inkomsten, maar ook alle tracking/marketing info via een gecachte website geen lekker richting Google.
:X

Meer info hierover en waarom het slecht is voor de hele wereld behalve Google:
https://medium.com/@danbu...-for-the-web-e4d060a4ff31
whats next?
Ik denk als je het Google vraagt de complete browser UI weg zodat websites volledige “apps” worden, Google heeft hier al een zijspoor voor lopen genaamd “Progressive Web Apps” (PWA’s) welke al standalone kunnen draaien. Zodra websites apps zijn loopt Chrome OS niet meer achter qua aanbod en hebben ze daarmee een “volledig” en goedkoper alternatief voor reguliere desktop OS’en. Wat natuurlijk in meer gebruik en daarmee meer data, inkomsten en invloed resulteert.

Google wil dominantie, that’s next.
What's next heeft men al eerder aangegeven, uiteindelijk gaat ook het slotje weg en zie je alleen het domain. Een slotje, een groen slotje...het blijkt allemaal niets uit te maken omdat geen hond er naar kijkt.

Het wordt straks dus omgekeerd: het is veilig (althans de verbinding), zo niet, dan pas wordt iets aangegeven in de balk.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Gamescom 2019

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True