Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Chrome krijgt modus voor https-only

De Google Chrome-browser krijgt binnenkort een Https-Only Mode. In deze modus worden alle URL's geüpgraded naar https-links, tenzij er geen https-versie is. Dan krijgt de gebruiker een waarschuwingspagina te zien met de vraag of hij of zij alsnog wil doorklikken.

De modus wordt in Chrome in te schakelen via chrome://flags. Deze instelling is automatisch uitgeschakeld. Volgens 9to5Google zorgt de instelling indien ingeschakeld ervoor dat alle bezochte sites automatisch worden geüpgraded naar https. Chrome doet dit nu al wanneer de gebruiker niet in de URL schrijft of het om een http- of https-URL gaat. De https-only-modus lijkt dan ook vooral handig te zijn voor wanneer gebruikers op een link klikken, of wanneer gebruikers handmatig http:// voor een URL schrijven.

Mocht de site geen https-versie hebben, omdat het bijvoorbeeld om een oude site gaat of omdat dit bewust gedeactiveerd is, dan krijgt de gebruiker bij het navigeren naar de website eerst een waarschuwing te zien. Vermoedelijk komt er in deze waarschuwing te staan dat de site geen https ondersteunt.

De gebruiker krijgt dan de keuze om verder te navigeren of om naar een andere site te gaan. Chrome zal de keuze van de gebruiker opslaan en de volgende keer geen waarschuwingspagina tonen. Wanneer de https-only-modus verschijnt, is niet bekend. Onder meer Firefox heeft sinds versie 83 een vergelijkbare functie.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

30-06-2021 • 10:58

44 Linkedin

Reacties (44)

Wijzig sortering
Enigste vervelende is redirect websites. Dat is wel lastig als je nogal wat merken en diensten hebt….
Enigste vervelende is redirect websites. Dat is wel lastig als je nogal wat merken en diensten hebt….
Waarom is dat lastig? Normaliseren en automatiseren. Met Let's Encrypt kan het zelfs zonder certificaatkosten.

De HTTP site laat je exclusief een doorverwijzing doen naar de HTTPS site, en de HTTPS site laat je vervolgens doorverwijzen naar waar je de browser heen wil sturen. Voeg een goede HSTS header toe, en je zal HTTP verkeer drastisch zien verminderen over tijd.

[Reactie gewijzigd door The Zep Man op 30 juni 2021 11:31]

Jazeker :-)

Voor mkb allemaal niet zo spannend, zoals ik al zei, merken en diensten + als aanvulling wereldwijd, multinational, IP bewaking en zeker niet vergeten, marketingafdelingen…

Het is wat lastig, niet ondoenbaar. :-)
Er zitten sowieso redirect in websites.

Je hebt websites die niet eens meer www.example.com in de DNS hebben. Dan gaat de browser eerst jouw ingetoetste adres controleren en als die niet bereikbaar is gaat hij naar domein.voorbeeld.

Ik kom zelfs nog websites tegen die op het WWW subdomein https://www.example.com niet eens een SSL-certificaat hebben, maar alleen op https://example.com terwijl er vaak helemaal geen kosten zitten op het extra subdomein www. Daarnaast is het natuurlijk zoals @The Zep Man aangeeft eenvoudig te automatiseren met de API's van Let's Encrypt.

[Reactie gewijzigd door tom.cx op 30 juni 2021 11:33]

Ik kom zelfs nog websites tegen die op het WWW subdomein https://www.example.com niet eens een SSL-certificaat hebben, maar alleen op https://example.com terwijl er vaak helemaal geen kosten zitten op het extra subdomein www. Daarnaast is het natuurlijk zoals @The Zep Man aangeeft eenvoudig te automatiseren met de API's van Let's Encrypt.
En bij Let's Encrypt kan je het www subdomein (gratis) aan het certificaat toevoegen. ;)
Zeker. Het is zelfs mogelijk om wildcard certificaten aan te vragen. Hier moet je alleen wel op DNS niveau de authenticatie kunnen doen. De eenvoudige authenticatie d.m.v. het uploaden van bijv. een HTML bestand of het maken van een bepaalde map werkt daar niet voor.
Het internet kan volgens mij op die manier ook sneller, als je niet eerst het domein oproept met http:// maar ipv daarvan direct de https raadpleegt. Bij de aanroep zit er wat DNS tijd en time to first byte tussen, om zo een 301 te versturen naar de https versie. Skip die stap en het wordt inderdaad sneller.

Maar goed; wie vandaag de dag nog een site zonder https bouwt.
Mooie funtie. Ik heb het in Firefox ook aanstaan. Dan heb je https Everywhere niet meer nodig als extensie.
Je krijgt dan keurig een melding als een site nog http-only is en of je deze überhaupt nog wel wil bezoeken.
Het verbaast me hoeveel websites van bijv ondernemers nog http zijn. Laatst wilde ik een tafel boeken bij een michelin restaurant en die had nog http en vroeg zelfs om credit card gegevens om de boeking te bevestigen. Toen maar ergens anders gaan eten.

Michelin zou die ster om die reden eigenlijk al af moeten pakken.
Het kan ook zo zijn dat het formulier voor invoer van de reservatie/creditcard in een iframe met https draait. Dan is er volgens mij geen probleem.
Ook dit is niet secure. ;-)

Common ways iFrames are exploited
Clickjacking or UI redress attack – a popular way of tricking a user to click on a button or link that is overlaid on top of your website. The user thinks they’re clicking on your website or button, but instead, they’re clicking on a transparent or camouflaged button that takes them to the attacker’s site. This will cause your customers to think they’re on your website when they’re in fact providing their information to the attacker.

Unauthorized content republishing – Other website owners may use iFrames to portion out some of your unique content to display on their website instead of getting permission to use this content, or directing their users to your website.
Goed punt. Niet bij stil gestaan.
En daarom laat apple (terecht) in de safari browsers geen cookies meer toe in iframes.
Nee dat was dus niet zo want Chrome zei iets in de trend van: Automatisch aanvullen van credit card gegevens is uitgeschakeld omdat er geen HTTPS aanwezig is.
Het kan ook zo zijn dat het formulier voor invoer van de reservatie/creditcard in een iframe met https draait.
Hoe verifieer je dat als gebruiker? ;)

Verder kan een HTTP site ook nare zaken injecteren. Juist doordat je begint met een onbetrouwbare verbinding is niets te vertrouwen.
Als power user kun je het controleren met de developer tools. Even de page inspector gebruiken, juiste elementje selecteren en je ziet al snel wat er onder water gebruikt is en waar het naartoe gaat.

Maar dat is wel redelijk over de top, het praat slecht design niet goed.
Als het goed is krijg je dan van je browser een waarschuwing dat er mixed content (deels http, deels https) op de pagina is te vinden.
Dit is insecure want een mitm kan dan gewoon de 'hoofdwebsite' vervangen door een versie van de website met een iframe van zichzelf. Iframe dat https gebruikt beschermd enkel tegen passieve aanvallen, niet tegen actieve... en is dus min of meer compleet nutteloos.
Mwah, dat is een beetje als een IT keurmerk afpakken omdat de programmeur niet kan koken...
Nee want koken staat los van programmeren, maar de website van een restaurant maakt deel uit van de kwaliteit/beleving ervan (wat mij betreft). En je hoeft geen website beheerder te zijn als kok maar je kunt het toch uitbesteden. Een simpele wordpress website met https kost je echt werkelijk bijna niks.
Kennelijk voor de meeste mensen teveel.
Ook dat kan je weer omdraaien. Je hoeft geen kok te zijn als programmeur maar je kunt het toch uitbesteden.

Ben het absoluut met je eens dat het niet heel netjes is en ook wel dom te noemen. Maar een Michelin ster heeft niks met de website te maken.
En toch, als het restaurant constant last heeft van lekkages door gebrekkig onderhoud (een kok is immers geen bouwvakker, timmerman etc) verwacht ik dat zo'n hok geen sterren krijgt.
Als je als restaurant niet de 0 euro per maand wilt uitgeven (gemiddelde kosten Letsencrypt) aan een veilige site die voldoet aan de wetgeving en de privacy van je klanten iig probeert te beschermen verwacht ik inderdaad dat zo'n friettent niet verder komt in een Michelin test, iets met hoeveel aandacht en zorg ze steken in hun restaurant.
Een website is tegenwoordig een integraal onderdeel van een bedrijf. Dus als je dat doet moet het eenzelfde kwaliteit hebben als de rest van je bedrijf. Doe het anders niet.

En als eten van Michelinsterrenkwaliteit is, maar het restaurant heeft een interieur als een snackbar, dan is die ster echt weg. Het geheel wordt beoordeeld, niet alleen het eten. En daar hoort een website gewoon bij. Zeker als je de site kan gebruiken voor boekingen waarbij je persoonsgegevens gebruikt.
maar de website van een restaurant maakt deel uit van de kwaliteit/beleving ervan (wat mij betreft)
Dat kun je prima vinden, maar dat is niet waar een Michelin-ster om draait. Dat gaat louter om het voedsel, niet om de ambiance en de beleving. Dus nee, een ster weghalen omdat er geen HTTPS is is net zo onzinnig als een ster weghalen omdat de weg ernaartoe onveilig is.
De ambiance telt wel degelijk mee.
Nee, daar zijn de bestekjes voor.
De Michelingids heeft als hoofdindeling de 'categorieën'. Deze worden aangeduid met bestekjes. De eenvoudigste categorie voor de restaurants is die met één bestekje ("vrij geriefelijk"); vijf bestekjes vormen de hoogste categorie ("zeer luxueus"). Als de bestekjes rood gekleurd zijn, is het restaurant beoordeeld als 'aangenaam'.

De sterren duiden op uitzonderlijke kwaliteit van een keuken. De sterren zijn in beginsel onafhankelijk van de categorie (het aantal bestekjes dus).
Mwah, dat is een beetje als een IT keurmerk afpakken omdat de programmeur niet kan koken...
Zou je ook zo redeneren als:
- ingrediënt x mist in het gerecht omdat het ordersysteem (= IT) een bug bevat en de levering niet doorgekomen is?
- je bij de EHBO terecht komt omdat de allergienotitie niet doorgekomen is richting de keuken vanwege brakke Wifi (= IT)?
- een avond kou lijdt omdat het klimaatsysteem (= IT) iets te enthousiast is?
- er geen rekening uitgedraaid kan worden vanwege papiergebrek omdat het voorraadsysteem (= IT) niet synchroniseert?
Ik kwam vandaag de optie ook tegen, toen ik de password manager uitschakelde (ik gebruik al twee password managers, een persoonlijk (Enpass) en een zakelijk (LastPass), een derde erbij is dan wat overbodig. Ik zat te denken om HTTPS-only in te schakelen, maar wist niet of Firefox ook dit zou doen wat je nu beschrijft. Bedankt voor de bevestiging, kan ik die optie nu ook met een gerust hart inschakelen.
Hier hetzelfde. In Firefox had ik de extensie Https Everywhere ook gebruikt, maar nu regelt Firefox dat zelf. Van de websites die ik bezoek zijn ze praktisch allemaal Https, behalve één website die ik regelmatig bezoek. Daarvoor heb ik een uitzondering gemaakt, zodat ik op de bookmark kan klikken zonder dat ik telkens die melding voor die website krijg.
Voor wie het interessant vindt om de implementatie te zien (in C++):Er komt toch meer bij kijken dan je zou denken :P
Wellicht interessant om te vermelden dat Brave dit al een paar jaar standaard doet, maar dan met een ingebouwde extensie van de Elektronic Frontier Foundation geloof ik.

Het is dus best veel werk om dit "gewoon" in te bouwen. Fijn dat Chromium dit nu gaat doen.

En jammer dat Tweakers het over Chrome heeft, dat moet Chromium zijn, waardoor het uiteindelijk in veel meer browsers dan alleen Chrome komt. Denk aan Brave, Edge, Opera, en het in Linux populaire Chromium zelf natuurlijk.
Brave doet niet hetzelfde, Brave heeft HTTPS Everywhere ingebouwd. Dat gebruikt een gigantische whitelist van websites die HTTPS ondersteunen, en redirect alleen websites naar HTTPS die op die lijst staan. Deze feature in Chromium redirect alle websites naar HTTPS, en toont een scherm wanneer een website geen HTTPS ondersteunt.
Brave heeft HTTPS Everywhere ingebouwd.
Dat is dus die extensie van de Electronic Frontier Foundation die ik bedoel. Die gebruikt inderdaad een lijst (die tegenwoordig constant wordt geüpdatet door de crawlers van DuckDuckGo.)

Overigens toont Brave ook een scherm als de website opeens naar http gaat. AliExpress doet dat bijvoorbeeld bij elke zoekopdracht, wat op zichzelf een interessant stiekem principe is.
The information you’re about to submit is not secure
Because this form is being submitted using a connection that’s not secure, your information will be visible to others.
Ik kan niet wachten op de dag dat dit de standard word, en dat http mode iets zal worden dat je aan moet zetten met een flag :)
Damn, die lopen dan achter. Heeft Firefox al een behoorlijke tijd.
Zoals in het artikel ook staat
Onder meer Firefox heeft sinds versie 83 een vergelijkbare functie.
Een goede zaak dat ze dit doen. Het hangt natuurlijk al een hele tijd in de lucht. Google promoot al een hele lange tijd het gebruik van HTTPS en houdt daar in de rangschikking van zoekresultaten ook al rekening mee. Daardoor is het ook niet meer dan logisch dat ze deze functionaliteit in hun webbrowser activeren.
Klinkt hartstikke leuk dat men deze modus gaat toevoegen....

Mij ontgaat alleen volledig waarom dit dan fijn/leuk/handig zou zijn? In het artikel en ook in de comments geen reden kunnen vinden waarom dit een goede functie zou zijn.

[Reactie gewijzigd door Generaal Pep op 30 juni 2021 12:07]

Het is in z'n algemeen een goed idee dat al het verkeer versleuteld en nog belangrijker ondertekend is. Alle verbindingen die versleuteld en ondertekend zijn, zijn veel minder vatbaar voor een MITM-aanval. Bij een niet-versleutelde verbinding kan een stuk malware (of een malafide ISP) allerlei ongewenste data injecteren in je datastroom met alle gevolgen van dien.

In de VS zijn er een aantal ISPs die zelf advertenties injecteren in de http-datastromen. Bij https is dit redelijkerwijs niet mogelijk.

Doordat je internetverkenner altijd https forceert (of in elk geval een spannende melding geeft dat wat je aan het doen bent potentieel onveilig is) zullen meer en meer websites alleen maar https gaan serveren wat uiteindelijk voor een veiliger internet zorgt.

Zo ben ik persoonlijk ook een groot voorstander van versleutelde (en ondertekende) DNS-verzoeken. Of het DoH of DoT of DoQ is, maakt niet zoveel uit, maar het feit dat reguliere DNS-verzoeken vrijwel ongedetecteerd aangepast kunnen worden, is best problematisch. In combinatie met https is het al minder van ernstig (omdat de malafide doel-server als het goed is niet aan een correct certificaat kan komen), maar er is natuurlijk meer dan alleen https-verkeer.
Oke, interessant! Duidelijk verteld ook! Bedankt

Met deze kennis ben ik het er helemaal mee eens dat browsers https moeten gaan forceren, ja!
Het is prima maar in een testomgeving kan Chrome ook bijzonder lastig zijn als je zelf signed certificaten gebruikt met zelfde IP adressen etc. Tot het irritante aan toe dat je gewoon geen verbinding krijgt. Of is er een cache die je moet legen ofzo?
Chrome wordt eigenlijk alleen echt irritant als het certificaat verlopen is, dan moet je "thisisunsafe" intikken om door de blokkade heen te komen (alsof het een Doom cheat code is, wie verzint dat). Als het niet verlopen is dan krijg je enkel een waarschuwing waar je doorheen moet klikken.

Op zich oplosbaar door geen self-signed certificaten te gebruiken maar letsencrypt certificaten.
Waar tik je dat in ? (in een test omgeving en puur IP verbindingen werkt letsincript niet zo)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True