EFF en Tor brengen Https Everywhere-add-on naar Firefox

De EFF en het TOR Project hebben de handen ineengeslagen bij de ontwikkeling van een Firefox-add-on die gebruikers automatisch naar https-versies van pagina's doorsluist. Versleutelde verbindingen zouden zo minder lastig te gebruiken zijn.

EFF en Tor hebben een publieke bèta van de Https Everywhere-add-on uitgebracht. Volgens de makers is de tool geïnspireerd op Googles mogelijkheid om via https te zoeken. Veel sites geven die mogelijkheid wel, maar stellen die niet standaard in. De add-on zorgt ervoor dat het verkeer automatisch via https verloopt.

"Wij zorgen ervoor dat de meeste of alle communicatie van de browser met populaire sites die ssl ondersteunen, maar het niet standaard aanbieden, versleuteld verloopt", aldus de beide partijen die zich voor de privacy van internetters inzetten. Volgens Mike Perry van het Tor Project maken veel sites het ingewikkeld om encryptie via https te gebruiken: "Vooral voor Googles ssl-zoekfunctie en voor Wikipedia zijn complexe handelingen voor het herschrijven van url's en filtering nodig."

De add-on is gebaseerd op de NoScript Strict Transport Security-implementatie, maar met de nodige aanpassingen om het effectiever dan NoScript te laten functioneren. Ook zou de plug-in veiliger werken dan SSL Certificates Pro en KB Enforcer, die respectievelijk op GreaseMonkey en Google Chrome Extensions zijn gebaseerd. Momenteel ondersteunt Https Everywhere onder andere Google Search, Wikipedia, Twitter, Facebook, The New York Times, The Washington Post, IxQuick. Identi.ca en Scroogle.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 21-06-2010 17:4225

21-06-2010 • 17:42

25 Linkedin

Lees meer

EFF stopt met ontwikkeling van Https Everywhere-browserextensie Nieuws van 23 september 2021
Ontwikkelaars maken broncode 'veilige' Chromiumbrowser Aviator openbaar Nieuws van 9 januari 2015
EFF wil gratis certificaten uitdelen via onafhankelijke certificaatautoriteit Nieuws van 19 november 2014
Vrouw klaagt Tor-project aan om 'wraakporno' Nieuws van 9 juli 2014
Onderzoekers stuiten op tientallen malafide tor-exitnodes Nieuws van 22 januari 2014
NSA en GCHQ misbruiken Firefox-bugs om Tor-gebruikers te volgen Nieuws van 4 oktober 2013
IETF maakt van HTTP Strict Transport Security-protocol een webstandaard Nieuws van 25 november 2012
Tor roept gebruikers op bridges aan te maken op Amazons EC2-clouddienst Nieuws van 22 november 2011
Beveiliging websites mogelijk in gevaar door ssl-kwetsbaarheid Nieuws van 20 september 2011
EFF: verplicht afstaan wachtwoord is ongrondwettelijk Nieuws van 10 juli 2011
Mozilla wil privacy beschermen met iconen voor websites Nieuws van 25 december 2010
Vrijwilligers testen routers die internetverkeer anonimiseren Nieuws van 23 december 2010
Firefox krijgt 'do not track'-knop Nieuws van 20 december 2010
EFF: gerechtelijk bevel nodig voor offline halen website Nieuws van 24 november 2010
Google laat Chrome oude plug-ins weigeren Nieuws van 30 juni 2010
Google wil encryptie toevoegen aan Maps Nieuws van 23 mei 2010
Google begint met encrypted search Nieuws van 15 mei 2010
Ixquick slaat geen ip-adressen meer op bij zoekopdrachten Nieuws van 28 januari 2009
Google voegt 'https-modus' toe aan Chrome 2.0 Nieuws van 11 januari 2009
Meer producten en artikelen
Privacy Browsers

Reacties (25)

-Moderatie-faq
25
23
17
3
0
2
Wijzig sortering
Anoniem: 116213
21 juni 2010 18:21
Wat ze eindelijk eens moeten oplossen in FireFox is de mogelijkheid om HTTPS te forceren als er mixed-content is. In Internet Explorer kan je dit gemakkelijk instellen, maar in Firefox krijg je alleen een melding en vervolgens wordt zowel HTTP als HTTPS content getoont, waarbij er op dat moment dus een veiligheidsprobleem ontstaat.

Er is een plugin beschikbaar voor dit probleem op: https://crypto.stanford.edu/forcehttps/

Alleen die is niet geschikt voor FireFox v3.5+ en je krijgt daar dan de ironische foutmelding dat het certificaat niet gecontroleert kan worden.

Dit is echter iets wat gewoon in FireFox ingebouwd moet worden, en er is ook een tracker report over, maar staat nog steeds open. En natuurlijk ligt de schuld bij de website ontwikkelaar, want die kan simpelweg voorkomen dat er mixed-content wordt getoont. Echter zelfs een bedrijf als Google maakt hierin fouten, zoals met Google Wave.

Het is grappig dat Internet Explorer dit beter heeft geregeld als FireFox en dus een veiligere browser is als het op mixed-content aankomt.
Maurits van Baerle
@Anoniem: 11621321 juni 2010 19:31
Misschien begrijp ik je verhaal verkeerd maar is het niet juist de beste manier om bij mixed content de site onveilig te beschouwen? Dat is immers dichter bij de waarheid dan andersom.

Als een HTTPS site namelijk sommige content van HTTP sites haalt is die content niet ge-encrypt, daar kun je client side dan ook weinig aan veranderen lijkt me. Je kunt moeilijk HTTPS forceren met een server die dat niet ondersteunt.

[Reactie gewijzigd door Maurits van Baerle op 21 juni 2010 20:23]

dragontje124
@Maurits van Baerle21 juni 2010 20:06
Volgens mij bedoelt hij daarmee dat FF dan bijvoorbeeld alleen de HTTPS content ophaalt en de HTTP content niet
Correct me if I'm wrong
Anoniem: 116213
@Maurits van Baerle21 juni 2010 22:09
Het gaat er inderdaad om dat ik een HTTPS website veilig moet kunnen gebruiken, als er echter mixed HTTP content wordt getoont dan is dat met FireFox niet mogelijk. Je krijgt een waarschuwing en SSL wordt uitgeschakelt.

Das fijn, maar ik heb dus liever de mogelijkheid om de HTTP content dan te blokkeren, zodat de website veilig gebruikt kan worden.

In Internet Explorer is dat gemakkelijk, standaard vraagt ie constant of je onveilige data wil tonen of blokkeren, of je kan de instellingen wijzigen dat het altijd geblokeerd wordt (mijn favoriete keuze, anders is het snel irritant).

De HTTP content zijn vaak 3rd-party advertenties, of andere content die toch meestal niet nodig is voor het gebruik van de HTTPS website. Maar op dat moment is het doorsturen van gevoelige gegevens in ieder geval veilig mogelijk.
Anoniem: 16225
22 juni 2010 08:10
Kun je Tweakers trouwens via HTTPS bezoeken? Ik laat niet veel berichten achter op Tweakers maar zou het leuker vinden als alles encrypted was, ik denk dat het voor de meeste gebruikers wel zo is. Als er dan met certificaten wordt gewerkt is inloggen toch overbodig toch?
OK net gelezen dat je gewoon HTTPS voor tweakers moet invullen en dat werkt dus niet, toch vreemd dat een technische site als Tweakers zoiets niet ondersteund.
Tweakers .... werk aan de winkel ..... ;)

[Reactie gewijzigd door Anoniem: 16225 op 22 juni 2010 08:21]

Rob Coops
21 juni 2010 18:04
Leuk maar overbodig, ja het is even lastig om het in te stellen maar als je het eenmaal hebt gedaan dan is het ook gebeurt daar hoef je geen plugin voor te gebruiken. Zeker met de huidige plugin architectuur (geheugen vreten, traag en veel al buggy) doe ik dat soort dingen liever zelf dan dat ik op een tool van derde vertrouw. Daar naast gebruik ik over het algemeen een VPN verbinding die in ieder geval het laatste stukje van de data over wifi netjes verstopt. Natuurlijk als je http gebruikt moet de data ergens een deel leesbaar verstuurd worden maar het maakt mijn data wel een stuk lastiger te traceren dan wanneer je direct http over wifi gebruikt bijvoorbeeld van af een wifi hotspot in een cafe of zo...

Het is wel een leuk idee maar het zou beter zijn als sites zo veel mogelijk overstappen op het standaard aanbieden van https, het kost sites niets extra (ze hebben het toch al beschikbaar) en er zijn eigenlijk geen brouwsers meer te vinden die dit niet ondersteunen. Voor de mensen die zonder willen kunnen ze altijd nog de http connectie beschikbaar houden maar standaard hoeft dat al lang niet meer te zijn.
Het lijkt me een veel nettere oplossing dan mensen een pulgin die eigenlijk niet anders doet dan de requests herschrijven van http naar https om op die manier de noodzaak om de instellingen aan te passen weg te nemen.
merlijn85
@Rob Coops21 juni 2010 18:46
Je hebt een punt dat deze software niet voor iedereen een goeie oplossing is. Maar laten we wel wezen, is er software die voor iedereen goed is?

Het probleem waar je in sommige landen (China, Iran) mee zit is dat de overheid actief MitM aanvallen doet - met name op publieke hotspots. Dan kan je leuk instellen dat je Google over https wil benaderen, maar die beveiliging is zinloos aangezien het certificaat wordt vervalst en sommige OSen/browsers dit niet duidelijk aan de gebruiker weergeven.

En dan heb je het over vertrouwen - wie vertrouw je meer, een open source tool van bekende privacy voorvechters of de code van een webprogrammeur die ergens verstopt is en per site weer anders geregeld is. En wat is sneller, 10 miljoen websites die zo'n stukje code (al dan niet efficient) implementeren, of een enkele geoptimaliseerde implementatie?

SSL verkeer wordt in veel gevallen toch niet als default ingesteld omdat het wel degelijk meer resources kost voor zowel de client als de server. Zeker voor mobiele clients is het verschil enorm, zet maar eens IMAP push mail op je telefoon aan met/zonder SSL en vergelijk de levensduur van je accu.
84hannes
@Rob Coops21 juni 2010 18:07
Ga jij nou uitleggen dat jij het niet nodig hebt omdat je een stuk, dat mensen die bedraad internet gebruiken sowieso niet hebben, beter beveiligd hebt dan internetcafes?
Dat je het zelf ook goed kan regelen per site is waar, maar de rest van je verhaal vind ik vreemd.
demonite
@Rob Coops21 juni 2010 18:44
Hoe stel je dat dan in? Voor zover mij bekent is er geen instelling in je browser die bij het intypen van bv "www.google.com" automatisch naar "https://www.google.com" gaat (en alleen wanneer er een https://.. bestaat).

Overigens, als je op een tool van derden wilt vertrouwen dan lijkt mij TOR en EFF toch wel 1 vd meest betrouwbare partijen.
Zer0
@Rob Coops21 juni 2010 18:57
Het is wel een leuk idee maar het zou beter zijn als sites zo veel mogelijk overstappen op het standaard aanbieden van https, het kost sites niets extra (ze hebben het toch al beschikbaar
Het zou inderdaad leuk zijn, maar lang niet alle sites hebben https beschikbaar, en het is ook zeker niet kosteloos. Naast het feit dat goede certificaten geld kosten (hoewel dat niet zo heel veel is) kost de encryptie cpu-power op de webservers en is er extra beheer nodig.
Little Penguin
@Rob Coops21 juni 2010 19:27
Je vergeet dat het versleutelen van data processor-kracht kost, als je een druk bezochte site hebt is dat dus wel degelijk een aanslag op je systeem. Nu hoeft dat niet per definitie een probleem te zijn, want er zijn dedicated oplossingen beschikbaar die je als reverse-proxy in kunt zetten om het verkeer van HTTP naar HTTPS te versleuten (voor 't het internet op gaat)...

Verder zijn er genoeg sites die het niet aanbieden - iets als https://tweakers.net/ werkt bijvoorbeeld niet. Waarschijnlijk vanwege de hoeveelheid CPU-power die het kost om dit aan te bieden...

Verder is een VPN geen oplossing als je end-to-end encryptie wilt hebben, dan is https de enige juiste keuze...
enveekaa
@Rob Coops22 juni 2010 08:13
Beetje vaag verhaal. HTTPS werkt van client (of proxy) tot host en er is dus geen onversleutelde payload op het publieke net. Ik zie niet in hoe je dit kan vergelijken met VPN en WiFi.
Stoney3K
21 juni 2010 18:13
Prima ontwikkeling, dat mensen eindelijk bewust worden gemaakt voor het gebruik van SSL-verbindingen.

Maar....

Ik verbaas me nog altijd over de hoeveelheid websites die hun SSL-certificaten niet op orde hebben. Een onwetende gebruiker ziet dan een foutmelding, weet niet wat er precies aan de hand is, klikt gewoon klakkeloos op 'doorgaan' en kan net zo goed een valse site voor zijn neus krijgen. Ik denk dat het belangrijker is dat daar wat aan gedaan wordt.
Little Penguin
@Stoney3K21 juni 2010 19:37
Kun je een voorbeeld noemen van een publieke site die actief HTTPS aanbied en een incorrect certificaat heeft. Het is goed mogelijk dat een bepaalde server ook een HTTPS-verbinding aanbied, zonder dat de eigenaar van de gehoste site dit weet. Als men dan echter de HTTPS-optie niet actief aanbied kun je het incorrect zijn van het certificaat moeilijk de webmaster verwijten.

Je zou de hoster er op aan kunnen spreken dat'ie foute HTTPS aanbied, maar dan nog. Verder is het wel/niet hebben van een juist certificaat slechts een klein onderdeel van de beveiliging - een browser als Firefox heeft verder een mooie structuur om dit soort certificaten toch te kunnen gebruiken, als jij als gebruiker de eerste keer tenminste de waarschuwing goed op je in laat werken en een goede controle uitvoert...
Stoney3K
@Little Penguin22 juni 2010 12:11
...een browser als Firefox heeft verder een mooie structuur om dit soort certificaten toch te kunnen gebruiken, als jij als gebruiker de eerste keer tenminste de waarschuwing goed op je in laat werken en een goede controle uitvoert...
En dat is nu net waar de schoen wringt. Een beetje slim nadenkende hacker/tweaker die al redelijk vaak met beveiliging te maken heeft gehad weet dat wel.

Je oma die alleen af en toe het web wil surfen, en waarvoor je 'voor de veiligheid' deze plugin installeert (je waardeert toch ook HAAR privacy) zal bij het zien van de eerste foutmelding 'dit certificaat is verlopen' gelijk een verbaasd telefoontje jouw kant uit plegen of gewoon dom op 'ga door!' klikken.

Beveiliging, prima, maar het moet gewoon een stuk toegankelijker worden en gebruikers moeten op de hoogte gebracht worden van bepaalde zaken, bijvoorbeeld wát een certificaat eigenlijk doet.
Anoniem: 190996
21 juni 2010 21:05
Als we het hele internet gaan encrypten - hoeveel cpu power gaat dat dan bij elkaar kosten? En is dat beetje privacy ons echt waard?
Romeo
@Anoniem: 19099621 juni 2010 21:54
De extra cpu power is waarschijnlijk verwaarloosbaar door het feit dat moderne processors overal optimalisaties voor hebben, dus het stroomverbruik zal bijna gelijk zijn.

En of het jou dat waard is moet je voor jezelf bepalen, maar waarom moet jouw ISP weten waar jij op googeld? En waarom moeten ze dat opslaan?
arjankoole
@Romeo21 juni 2010 22:54
En of het jou dat waard is moet je voor jezelf bepalen, maar waarom moet jouw ISP weten waar jij op googeld? En waarom moeten ze dat opslaan?
dat slaat je ISP helemaal niet op, ze kijken er niet eens naar. (het zal ze een worst wezen ook)
Anoniem: 349470
21 juni 2010 17:56
.

[Reactie gewijzigd door Anoniem: 349470 op 21 juni 2010 21:01]

Paul C
@Anoniem: 34947021 juni 2010 19:05
Ik heb 'm even geinstalleerd en geprobeerd, maar hij redirect automatisch naar https. Als ik nu in mijn awesomebar http://facebook.com/ kies, dan kom ik automatisch op https://facebook.com/ uit. Het werkt dus wel in combinatie met je awesomebar, maar hij gaat niet alle URL's in je cache veranderen. Dat lijkt me natuurlijk ook erg ongewenst, want dat kun je lastig terug draaien als je de plug-in uitschakelt.

(En als je echt op je privacy gesteld bent heb je de cache natuurlijk uitgeschakeld en werkt de awesomebar sowieso niet O-) )
Seal64
@Paul C22 juni 2010 07:11
(En als je echt op je privacy gesteld bent heb je de cache natuurlijk uitgeschakeld en werkt de awesomebar sowieso niet O-) )
Ik zou daaraan willen toevoegen dat als je écht om je privacy geeft, je sowieso niet op Facebook zit...
sander1001
22 juni 2010 12:16
Leuk dat Google https heeft, maar iGoogle heeft het weer niet. |:(
Toolskyn
21 juni 2010 18:12
Eigenlijk zou er een soort <link rel="secure"> element bij moeten komen die verwijst naar de https versie, zodat browsers hiervoor een userinterface kunnen aanbieden. Eigenlijk op dezelfde manier als RSS feeds nu weergegeven worden in bijv. Firefox. Je zou er ook aan kunnen denken om gebruikers de keuze te geven altijd automatisch door te sturen naar een https versie als die aanwezig is, als een instelling in de browser.

In een tijd waarin afluisterpraktijken steeds vaker voorkomen en waarin de overheid steeds vaker de gebruiker wil bekijken lijkt me dat zeker een wenselijke functie. Het zou natuurlijk nog veel beter zijn als sites hun bezoekers automatisch doorsturen naar een https versie wanneer dat wenselijk is. Ik geloof in ieder geval wel dat de 'wenselijk-grens' verder opgeschoven is de afgelopen tijd, zodat het bij meer sites wenselijk is om een https versie te gebruiken.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee