Nieuws
image

Firefox-plugin versleutelt webverkeer

vrijdag 5 augustus 2011, 12:10 door Redactie, 5 reacties

De Amerikaanse Electronic Frontier Foundation (EFF) heeft samen met het Tor Project de officiële versie van de HTTPS Everywhere Firefox-plugin gelanceerd. De browseruitbreiding versleutelt de verbinding naar meer dan duizend websites en moet zo de privacy en veiligheid van gebruikers beschermen. Zo kunnen kwaadwillenden verkeer niet meer afluisteren of onderscheppen als het versleuteld is.

"HTTPS beveiligt online browsen door zowel de verzoeken van je browser naar websites als de weergegeven pagina's te versleutelen", zegt Peter Eckersley van de EFF. "Zonder HTTPS, zijn je online surfgedrag en activiteiten kwetsbaar voor afluisteren en kunnen je accounts gekaapt worden."

Privacy
HTTPS Everywhere 1.0 versleutelt de verbinding naar Google Image Search, Flickr, Netflix, Apple, Google Search, Facebook, Twitter, Hotmail, Wikipedia en talloze andere populaire websites. Er zijn echter nog talloze websites die helemaal geen HTTPS aanbieden. De tool werkt alleen als de website HTTPS zelf ondersteunt, maar niet voor alle pagina's automatisch inschakelt.

Bezoekers van 'HTTP-only' websites moeten het volgens de EFF met minder privacy en veiligheid doen. "Meer websites zouden HTTPS moeten implementeren om hun gebruikers tegen identiteitsdiefstal, virussen en andere veiligheidsdreigingen te beschermen", merkt Seth Schoen van de EFF op.

Reacties (5)
05-08-2011, 12:28 door Anoniem
Nu nog voor android
05-08-2011, 12:52 door Anoniem
Wat zou het toch fijn zijn als er eens een https standaard kwam waarvoor je niet in zee hoeft met een bedrijf wat certificaten verkoopt. Een soort tussenvorm van versleuteling, waarbij niet persé geverifiëerd kan worden dat je met de juiste server communiceert, maar waarbij wel je verbinding dicht blijft voor pottenkijkers.

Zoiets als wat je krijgt met een zelf-gegenereerd SSL-certificaat, alleen dan zonder alle mogelijke browser "mogelijk niet veilig" waarschuwingen.
05-08-2011, 13:28 door Anoniem
@12:52
:D Ja, dat is precies wat we nou níet willen. Want als jij zo'n cert kunt maken, kan een crimineel dat ook. En als gebruikers er niet meer vanuit kunnen gaan dat geel/groen/blauw in de balk veilig betekend, dan schiet je met een cert je doel voorbij (encryptie is maar een deel van het verhaal, authenticatie is de andere kant).
05-08-2011, 14:36 door Blijbol
Een soort tussenvorm van versleuteling, waarbij niet persé geverifiëerd kan worden dat je met de juiste server communiceert, maar waarbij wel je verbinding dicht blijft voor pottenkijkers.
Dat is logisch gezien onmogelijk, aangezien je dan ook met een pottenkijker kunt blijken te communiceren die het signaal vervolgens doorstuurt naar de echte server.

Met DNSSEC kun je in de toekomst overigens wel van de CA’s afkomen door de hash van je certificaat in een DNS-record te publiceren.
09-08-2011, 19:31 door Anoniem
Dan wil ik mijn reactie, dat ik graag een https standaard zou willen die onafhankelijk is van bedrijven die certificaten verkopen, even toelichten.

Als ik nu http gebruik, is dat per definitie voor het hele traject onveilig. Er is geen enkele vorm van versleuteling. Het browserverkeer kan op ieder moment door iedereen onderschept worden.

Ga je nu zo'n https-zonder-certificaatenbedrijf standaard invoeren en gebruiken, dan blijft inderdaad de mogelijkheid open dat je van begin af aan met de verkeerde server gaat communiceren, en inderdaad is het dus niet helemaal waterdicht. Aan de andere kant, heb ik eenmaal een verbinding gelegd met een server, dan kan daarna niemand zomaar meer zien wát er precies gecommuniceerd wordt met die server. En dat lijkt mij best een mooie middenweg. Niet zo veilig als gecertificeerd https, maar een stuk veiliger dan onversleuteld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search