Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome krijgt waarschuwingsfunctie als webformulier onbeveiligd wordt verstuurd

Chrome krijgt vanaf de M86-build een waarschuwingsfunctie als gebruikers een webformulier willen invullen en versturen op een beveiligde https-pagina, terwijl het formulier op onbeveiligde wijze wordt verstuurd.

Google noemt dit mixed forms, waarbij formulieren op https-websites niet conform de https-standaard worden verstuurd. Het bedrijf stelt dat dit een risico met zich meebrengt voor de beveiliging en privacy van de internetgebruiker, bijvoorbeeld omdat de ingevulde informatie zichtbaar kan zijn voor derden, zodat kwaadwillenden gevoelige informatie kunnen inzien of aanpassen.

Om dit te voorkomen, zal Chrome een functie krijgen om deze risico's voor het voetlicht te brengen. Zo wordt de autofill-optie uitgeschakeld bij mixed forms en krijgen gebruikers bij het invullen een zichtbare waarschuwing in rode tekst te zien, waarin wordt aangegeven dat het formulier niet beveiligd is. Als de Chrome-gebruiker dan alsnog het formulier wil insturen, volgt er een volledige waarschuwingspagina. Het is vervolgens wel mogelijk om het formulier alsnog in te sturen.

Voorheen werden mixed forms alleen gemarkeerd door het sloticoontje in de adresbalk weg te halen. Volgens Google vonden gebruikers dit niet duidelijk en werden daarmee de risico's niet goed gecommuniceerd.

Door Joris Jansen

Nieuwsredacteur

17-08-2020 • 20:57

42 Linkedin

Reacties (42)

Wijzig sortering
Is er eigenlijk een reden om nog een site zonder HTTPS te draaien? Ik begrijp dat als het er geen data verzonden wordt het ook niet persé nodig is, maar met LetsEncrypt is er toch eigenlijk geen reden meer om je site nog over HTTP te laten lopen?
LetsEncrypt is afaik een beetje tegenstrijdig voor sommige(/veel) toepassingen.

Gaat het je om een website dan is LetsEncrypt makkelijk, maar gaat het om een intranet / router-setup-pagina / switch-setup pagina / elke andere interne pagina dan ook, dan is LetsEncrypt weer of een beveiligingsrisico omdat je je firewall ervoor zal open moeten stellen om het automatisch te doen, of het is heel erg veel gedoe omdat de handmatige certificaten qua planning steeds korter gaan worden.
Nee hoor hoeft niet. Je een wildcard via je dns challange verkrijgen.

[Reactie gewijzigd door Redstone op 17 augustus 2020 21:57]

Alhoewel ik die niet kende en wel eens ga onderzoeken, zit ik toch alsnog met een zooitje legacy hardware waarbij je certificaten handmatig moet uploaden en daarvoor is qua planning LetsEncrypt ongeschikt.

Daarvoor moet je of de hele boel gaan scripten (is leuk tot 2 jaar terug hadden we nog een device wat we moesten updaten via een vm want die moest een IE met activeX hebben) of kopen of toch maar gewoon de waarschuwing negeren...
Of gewoon een wildcard certificaatje kopen voor die zaken, even simpel en langer geldig. :P Al kan je binnenkort enkel nog maar 1-jarige certificaten kopen. Apple en Mozilla gaan certificaten die langer geldig zijn dan 12 maanden + wat dagen *niet* meer accepteren in hun browsers als deze uitgegeven zijn naaaa... Volgens mij 20 augustus 2020, maar (certificate) pin me er niet op vast.
Leuk, maar wat heb je aan een wildcard certificaat voor een extern domain als je intern geen FQDN's gebruikt?
Dat dus. Mijn vorige werkgever vond het leuk om .lan als TLD te gebruiken voor interne hostnames, dus dc.werkgever.lan, rotterdam.werkgever.lan, intranet.werkgever.lan.

Vraag daar maar eens een cert voor aan 🤦🏻‍♂️
Gebeurt vaker.
Ik kom dit bij klanten tegen.
Het is een heel lang verhaal voordat men begrijpt dat dit niet kan.
Het kan wel, alleen moet je dan je eigen certificate authority op gaan zetten binnen je AD etc.

Je hebt dan simpelweg geen externe certificate authority die jou kan helpen, je moet het zelf doen.

Wat in theorie ook niet zo erg is, alleen in de praktijk heb ik het meer zien neerkomen op dat men 1x in de 2 jaar maar een nieuwe procedure bedacht om nieuwe certificaten uit te geven, want procedures voor eenmalig gebruik binnen 2 jaar willen nog wel eens achterlopen.
HTTPS is altijd nodig omdat je de data die je ontvangt ook wilt kunnen vertrouwen.

Er is inderdaad geen reden meer het niet te doen. Behalve deze dan misschien 😉

[Reactie gewijzigd door Snooby op 17 augustus 2020 21:43]

Ik gebruik voor diverse interne websites toch echt geen HTTPS, te veel gedoe om een geldig certificaat aan te maken zonder externe FQDN, en ik heb ook geen zin om self-signed certificates te verspreiden.
en ik heb ook geen zin om self-signed certificates te verspreiden.
Tja, dan is security dus misschien niet echt je ding :?
Tja, dan is security dus misschien niet echt je ding
Het is een deel van mijn verantwoordelijkheden in mijn functie, maar beveiliging is ook weten wanneer het niet nodig is. Prive gebruik ik momenteel 15 Let's Encrypt certificatien, voor spul waar HTTPS belangrijk op is, voor de rest is het niet belangrijk, en doe ik het niet.
In hoeverre garanderen self signed certificates de veiligheid? Bovendien krijg je bij websites die dat gebruiken altijd een melding dat de website onveilig is, en kom je pas na 2 klikken bij je bestemming (bij Chromium based browsers in ieder geval).
Voor een interne website snap ik het wel.
Ik vind het naïef om intern alles te vertrouwen. Tevens zorgt HTTPS er ook voor dat je zeker weet dat je met de juiste server bent verbonden. DNS is nog gemakkelijk te spoofen dus zonder HTTPS weet jij niet of je op de juiste interne website zit.

Als je geen publieke certificaten wilt gebruiken is de handigste oplossing niet losse self-signed certificates! Dit is lastig in beheer en je zult elk individuele certificaat moeten vertrouwen. Het idee is dat je slechts 1 signed root CA genereert en die gebruik je om nieuwe certs te signen. Die root CA zet je in je trust store en klaar is Kees.
Tja, het is ook zo belangrijk dat ik veilig kan communiceren met een raspberry pi waarmee ik via een webinterface een ledje kan laten branden. Stel je voor dat iemand die data onderschept, of dat ik op een andere "server" terecht kom.
Dat een website HTTPS gebruikt wil niet automatisch betekenen dat je de data kan vertrouwen. Dat is niet het doel van HTTPS. HTTPS kan gebruikers vertrouwen geven wat bij de praktijk past, maar dan moeten ze we genoeg van HTTPS snappen. Alleen HTTPS toepassen verandert dat niet.
Met “vertrouwen” doel ik op het feit dat de informatie die je ontvangt ook echt de informatie is die de website heeft verstuurd (geen man-in-the-middle attack mogelijk).
Omdat het significant ingewikkelder is en meer onderhoud vraagt dan op http hosten.

En ja, ik ken letsencrypt, https is voor de gemiddelde tweaker niet moeilijk, maar het is wel een stuk ingewikkelder (en je renewal moet blijven werken) dan een simpele http hosting.
Met een webserver zoals Caddy is het nauwelijks meer moeite om iets achter HTTPS te draaien. Je kan files hosten achter HTTPS met letterlijk alleen [code]caddy file-server[/] en het is ook helemaal niet moeilijk om spul te proxyen om onbeveiligde services te beveiligen.
Je kan heel simpel met iets als certbot het hele proces automatiseren. Slechts 1x en command runnen en klaar
Niet iedere webhoster biedt SSH toegang voor shared hosting of laat staan dat je een applicatie mag draaien die de hoster niet op de server geïnstalleerd heeft.

En voor een simpele website is (het onderhoud van een) VPS/Dedi weer overkill.
Er zijn meerdere hostingbedrijven die dat voor je doen met een paar klikken, inclusief auto renewal. Zowel voor gratis certificaten als betaalde.
De enige reden is: Extra werk bij het inregelen.

Het is geen goede reden daarintegen.
Het is echt ontzettelijk makkelijk tegenwoordig als je website apache of nginx gebruikt.

Even certbot installeren en een simpele command runnen, vervolgens 1 of 2x een vraag van certbot beantwoorden (bijvoorbeeld of je http wilt redirecten naar https) en klaar. Certificaten bij let's encrypt die automatisch voor je vernieuwd worden.
Met Caddy is het nog makkelijker, je moet namelijk moeite doen het geen HTTPS te laten zijn.
Wij leveren community websites waarbij gebruikers vaak een eigen domein laten doorverwijzen naar een (https) website op onze servers middels een 301 redirect of javascript redirect. Niet via iframe uiteraard. Heb je dan geen ssl certificaat voor jouw domein en typ je “www.mijnwebsite.nl” dan wordt dit ondertussen ook automatisch naar “https://www.mijnwebsite.nl” verwezen, wat dan weer een “onveilig” error geeft.

Soms biedt de registrar geen mogelijkheid een ssl certificaat via let’s encrypt te verzorgen, of je moet dan een hosting pakket afnemen om dat te kunnen.

[Reactie gewijzigd door s1h4d0w op 18 augustus 2020 01:44]

Ja, die reden is er. Als je een prutser bent doe je dat.

Ik moest laatst een intakeformulier op de website van m'n fysiotherapeut invullen. Adres, BSN, omschrijving van de klacht. Uiterst gevoelige informatie. Blijkt dat formulier gewoon via http te worden verstuurd, niet https.

Dus ik mopperen bij m'n fysio. Zegt ie dat het prima voor elkaar is want hij heeft er een bedrijf voor ingehuurd. Het wilde er gewoon niet in dat een patient hier blijkbaar meer over wist dan het prutsbedrijf wat hij hiervoor inhuurde...
Het zou mooier zijn als de submit knop zou worden uitgeschakeld. Op deze manier leert de web developer niets
Hoe wil je dan op je lokale machine ontwikkelen?

Standaard vinden browsers self-signed certificaten vieze dingen. Tenzij jij jouw browser zo configureert dat die het accepteert.
Volgens mij is 'localhost' bij zowel Chrome als Firefox een uitzondering als het op HTTPS gaat.
Het uitschakelen van functionaliteit bij de gebruiker heeft effect op de gebruiker. Het kan effect op de web developer hebben maar dan moet wel aan diverse voorwaarden worden voldaan. Het simpelweg uitschakelen van functionaliteit in de browser zorgt er niet zomaar voor dat aan die voorwaarden zal worden voldaan. Dus hoe ga je er met het uitschakelen dan voor zorgen dat de web developer er wel van gaat leren? En ook niet onbelangrijk: hoe voorkom je dat je formulieren onbruikbaar maakt terwijl ze voor de gebruiker hard nodig zijn? De browser kan namelijk niet raden of het formulier nodig is, dat is aan de gebruiker.

[Reactie gewijzigd door kodak op 17 augustus 2020 23:48]

Goh, dit had Internet Explorer 3.0 ook al, en Netscape van rond die tijd. Alleen kon je dat met een “do no show this warning again”-vinkje oid eenvoudig uitzetten (wat iedereen dan ook deed)...
Chrome had het ook al. Enkel de full-page warning en het uitschakelen van aurofill zijn effectief nieuw hier.
Chrome bestond nog niet in 1996 :P
Dat doet Firefox ook al jaren toch?
Dat was ook mijn gedachte, zo'n beetje alle browsers dacht ik maar ik ga nu twijfelen. Verbaasd mij in elk geval dat Chrome het niet eerder had.
Schakelt die ook autofill uit en laat deze eerst een aparte pagina zien met een waarschuwing?
Ik snap het artikel niet.
Bedoelen ze ermee dat de <FORM> zelf op een https:// server zit en dat ACTION="" richting een andere URL http:// (zonder s) gaat.
Zo ja, dat is toch niet meer dan logisch dat je een waarschuwing krijgt.
dat is toch wat er letterlijk in het artikel staat
versturen op een beveiligde https-pagina, terwijl het formulier op onbeveiligde wijze wordt verstuurd
Dacht eigenlijk dat dit er al lang inzat. In ieder geval iets dat bijvoorbeeld afbeeldingen op een https pagina niet van een http-bron mogen komen

[Reactie gewijzigd door Kenhas op 18 augustus 2020 11:42]

Het idee erachter is dat de POST onveilig over HTTP gesubmit wordt. Maar ook al zou het veilig over HTTPS zijn, een gehackte site kan die gegevens prima onderscheppen.
HTTPS gaat niet helpen tegen een gehackte website, maar wel tegen een Man in the Middle aanval.
Als je zo'n onbeveiligd formulier invult kan iemand die het verkeer aftapt op bijvoorbeeld een public wifi netwerk de data inzien en inhoud van http websites onderscheppen en aanpassen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True