De login van facebook gaat via SSL:

Hetzelfde geldt voor Hyves, LinkedIn, Twitter en MySpace.

Dat stelt in ieder geval gerust. Doch zou het misschien geen slechte zaak zijn om mensen te laten zien dat de sessie netjes over SSL gaat door het in de adresbalk te tonen. Of zou hier een specifieke reden voor zijn, dat ze allemaal voor een andere strategie kiezen (form method="POST" action="https://(...))?

Waarom zou je de rest van de site achter SSL zetten als het doel van die site het openbaren van informatie is?

Bedenk ook dat SSL een behoorliljk belasting op de server met zich mee brengt. Nu kun je dat wel 'offloaden' naar een SSL accelerator maar die dingen zijn ook niet echt goedkoop.

Daar heb je wat aan als de pagina met het formulier geen SSL gebruikt, tenzij je elke keer de hele broncode gaat inspecteren voor het inloggen. Of heb jij die waarschuwing in je browser aanstaan dat je bij elk non-HTTPS formulier voor de verzending wordt gewaarschuwd?

Wat wel erg nuttig is in dit soort gevallen:
HTTPS Everywhere
https://www.eff.org/https-everywhere

Het (wat mij betreft grote) bezwaar van dit systeem (dat overigens ook geldt voor security.nl) is dat 99% van de gebruikers zich hier niet van bewust is, en er dus niets van merkt als er een keer geen SSL/TLS gebruikt wordt.

M.a.w. als ze door DNS spoofing of een URL in een mail met een IDN die sterk lijkt op facebook o.i.d. (voor IDN spoofing zie bijv. http://www.security.nl/artikel/10177/Opera_wil_gezamenlijke_oplossing_voor_IDN_spoofing_lek.html) op een site terechtkomen die zich voordoet als facebook etc. en inloggen, dan merken ze niet dat ze op een gespoofde site zitten, en vallen username en wachtwoord in verkeerde handen.

SSL/TLS is er om twee redenen:
(1) zeker te weten dat je op de site zit waarvan de hostname in de URL van je webbrowser wordt getoond (zodat je zeker weet dat je je username/wachtwoord niet aan een andere site weggeeft)
(2) de verbinding met DIE site te versleutelen zodat niemand op de kabel onderweg kan meekijken.

Dat eerste aspect wordt gemakshalve vergeten door facebook et al. Het zou al een stuk beter zijn als je voordat je kunt inloggen automatisch naar een https pagina zou worden geleid waarop dat wel kan, mocht die pagina een keer niet via https verschijnen dan zijn er vast wel enkele gebruikers die onraad ruiken. En als zo'n pagina bestaat kun je hem natuurlijk meteen in je bookmarks opnemen (en altijd die bookmark gebruiken als je in wilt loggen, dat is echt het veiligste).

Als ik nu naar https://www.facebook.com/ ga dan zie ik hetzelfde (echter netjes met EV certificaat) als wanneer ik naar http://www.facebook.com/ ga, maar de meeste mensen weten dat niet.

Stompzinnig: als ik nu naar https://www.twitter.com/ ga krijg ik een sec_error_ocsp_server_error te zien in Firefox (ik heb ingesteld dat ik certificaten op revocation gecheckt wil hebben voor ik verder ga). Kennelijk even te druk op de OCSP server van verisign? Even later nogmaals geprobeerd: nu opnieuw een foutmelding, echter een andere:

www.twitter.com uses an invalid security certificate.
The certificate is only valid for twitter.com

Zucht. Okay, https://twitter.com/ werkt nu. Ook hier geldt dat https://twitter.com/login gewoon bestaat, maar ook http://twitter.com/login bestaat, en dat vind ik dus onverstandig.

Triest gewoon hoe vaak er iets mis gaat met SSL/TLS, had het laatst zelfs bij https://www.diginotar.nl/ een OCSP error - een website die je, als je die foutmelding niet te zien krijgt, meteen redirect naar http://www.diginotar.nl/ - wat willen ze daarmee zeggen? SSL/TLS sucks, koop onze certificaten niet, het heeft toch geen zin?

(Sorry Bliijbol, toen ik op opslaan drukte had ik jouw bijdrage nog niet gelezen, we zeggen deels hetzelfde).

Toch heeft SirDice een punt wanneer hij zegt:

Dit lijkt mij een van de hoofdredenen, naast de kosten, van deze sites om voor deze oplossing te kiezen. Hierdoor kan wel veel meer informatie geïndexeerd worden en misschien zelfs vanuit marketing perspectief.

Daarnaast blijf ik bij het standpunt, zoals ook Blijbol en Bitwiper onderbouwen, dat SSL/certfiicaten niet altijd goed worden geïmplementeerd of cross-browser vaak niet naar behoren werken. Hier zouden ze dan in ieder geval op in kunnen spelen.

Volgens mij werkt een tool als sslstrip precies in de situatie waarbij je opent met een http:// en niet een https://, maar deze staat nog op mijn lijstje om me in te verdiepen :)

http://www.thoughtcrime.org/software/sslstrip/

Ik gebruik deze add on in Firefox naar alle tevredenheid:

https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension

Een website die achter HTTPS zit is net zo makkelijk te indexeren als een plain HTTP site, zeker wanneer de belangrijkste indexeer/adverteer systemen binnen het domein zelf zitten (denk aan Gmail, Facebook (ads) enz).

Het is: word je maar je wordt.

Tsja, security.nl werkt ook op dezelfde manier. Het zal wel teveel vragen van de server.
http://bit.ly/HTTPSsecurityNL
http://bit.ly/HTTPSwwwSECURITYnl

https://secure.security.nl/

Hee, dat werkt, thanks! tap tap tap m'n bookrmark vervangen, THANKS!

Grappig hoe iedereen zich druk maakt over de al dan niet aanwezige HTTPS verbinding.
Stond er een paar dagen geleden geen post over Man in the Middle aanvallen juist op HTTPS verbindingen?

Kortom ben je wel veilig met je HTTPS verbdinging, of heb je meer nodig om je inloggegevens te beschermen?