Nieuws
image

Firefox plug-in versleutelt duizenden websites

woensdag 10 oktober 2012, 10:30 door Redactie, 8 reacties

Er is een nieuwe versie van de populaire Firefox plug-in HTTPS Everywhere verschenen, die het verkeer tussen de browser en duizenden websites versleutelt. De plug-in werd in 2010 door de Amerikaanse digitale burgenrechtenbeweging Electronic Frontier Foundation (EFF) gelanceerd en is in samenwerking met het Tor Project ontwikkeld. De plug-in zorgt ervoor dat websites die het ondersteunen standaard via HTTPS worden benaderd, in plaats van HTTP. Hierdoor kunnen derden de inhoud van het verkeer tussen de gebruiker en website niet bekijken.

Inmiddels zouden 2,5 miljoen mensen de plug-in gebruiken. De EFF benadrukt dat het niet het gebruik van HTTPS Everywhere monitort, maar wel het aantal downloads kan bekijken. In HTTPS Everywhere 3.0 is versleuteling van 1500 extra websites toegevoegd.

"Het is onze schatting dat HTTPS Everywhere 3 volgend jaar tenminste honderd miljard pagina's en triljoenen individuele HTTP requests zal versleutelen", zegt Peter Eckersley. Die merkt op dat de HTTPS-ondersteuning van sommige websites niet helemaal goed werken. In dit geval kunnen gebruikers via een enkele muisklik een uitzondering maken.

Reacties (8)
10-10-2012, 10:34 door majestic
https://security.nl/

There is a problem with this website's security certificate.

en je word geredirect naar http://security.nl/

beetje slecht IMHO voor een beveiligings website.
10-10-2012, 10:39 door Anoniem
Open source Chrome/Chromium extensie KB SSL Enforcer:

https://chrome.google.com/webstore/detail/kb-ssl-enforcer/flcpelgcagfhfoegekianiofphddckof

Werkt voor alle websites. Whitelisten/Blacklisten is ondersteund.
10-10-2012, 10:42 door 0101
@majestic

HTTPS Everywhere stuurt je door naar https://secure.security.nl
10-10-2012, 11:03 door burne101
Door majestic:
beetje slecht IMHO voor een beveiligings website.

Je zou voor de gein eens foutmeldingen moeten lezen:

You attempted to reach security.nl, but instead you actually reached a server identifying itself as secure.security.nl. This may be caused by a misconfiguration on the server or by something more serious. An attacker on your network could be trying to get you to visit a fake (and potentially harmful) version of security.nl.

Dat geeft toch vrij duidelijk aan wat er aan de hand is.

(en de redactie moet even klagen bij systeembeheer over de foute vhost-config)
10-10-2012, 11:10 door majestic
Door burne101:
Door majestic:
beetje slecht IMHO voor een beveiligings website.

Je zou voor de gein eens foutmeldingen moeten lezen:

You attempted to reach security.nl, but instead you actually reached a server identifying itself as secure.security.nl. This may be caused by a misconfiguration on the server or by something more serious. An attacker on your network could be trying to get you to visit a fake (and potentially harmful) version of security.nl.

Dat geeft toch vrij duidelijk aan wat er aan de hand is.

(en de redactie moet even klagen bij systeembeheer over de foute vhost-config)

Ondanks dat ik hier met FF zit, is mijn meeste gebruik van het internet met IE (maar een aantal sites doen nog kut op IE10).
Op IE krijg je niet zo'n melding te zijn, maar een generieke melding (tenzij je dit zelf uitzet). Maar veel mensen die hier komen zitten dus op IE met de standaard foutmeldingen.

En het staat gewoon niet netjes.

FF negeert trouwens de melding en redirect me direct door naar de http://www.security.nl/
10-10-2012, 11:25 door Bitwiper
Deze discussie is al vaker gevoerd, zie o.a. https://secure.security.nl/artikel/39384/1/Security.nl_https_verbetering.html.

Ook mijn ervaring met de Firefox HTTPS Everywhere plugin is tot nu toe prima.

In MSIE (ik heb alleen ervaring met versie 8) kun je "mixed content" (d.w.z. http naast https) uitschakelen door in de beveiligingsinstellingen voor de "Internet Zone", onder "Diversen", "Gemengde inhoud weergeven" uit te schakelen.

Je kunt die instelling (in MSIE8) ook op "Vragen" instellen en dan steeds Nee te klikken (zodat je het weet dat de site die je bezoekt niet echt veilig is, en het dus voor de hand ligt dat er ook niet zorgvuldig met jouw gegevens zal worden omgesprongen die je daar wellicht achterlaat).

Vergelijkbaar is het interessant om te zien hoeveel websites willen dat je fonts downloadt en installeert als je ze bezoekt (zie in dezelfde dialogbox de sectie "Gedownloade elementen", daarin kun je "Lettertype downloaden" op "Vragen" instellen).
10-10-2012, 16:28 door Anoniem
Op lifehacker.com kan je de commentaren op een artikel niet zien. Onder opties vinkje weghalen, dan wel.
10-10-2012, 20:38 door wizzkizz
HTTPS Everywhere werkt uitstekend in combinatie met HTTPS finder. Die controleert voor elke website die je bezoekt of er een HTTPS versie beschikbaar is en geeft je de keuze om het domein te whitelisten (= gewoon HTTP blijven gebruiken) of een regel aan te maken voor HTTPS Everywhere dat volgende requests altijd via HTTPS gaan. Zijn inmiddels al heel wat regels opgeslagen bij mij ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search