image

Mozilla verwijdert favicon uit Firefox adresbalk *update*

dinsdag 24 april 2012, 11:37 door Redactie, 16 reacties

Om Firefox-gebruikers tegen spoofing en phishing te beschermen, heeft Mozilla de favicon van websites uit de adresbalk verwijderd. De aanpassing is nu alleen nog zichtbaar in de "Nightly build' van de browser, maar zal halverwege juli ook in de uiteindelijke versie worden doorgevoerd. Volgens Firefox-ontwikkelaar Jared Wein gebruiken sommige websites als favicon een slotje, waardoor gebruikers kunnen denken dat het om een versleutelde verbinding gaat, terwijl in werkelijkheid het verkeer nog steeds onversleuteld wordt verstuurd.

Adresbalk
"Daarom zullen we de favicon niet meer aan de adresbalk toevoegen", aldus Wein. "Deze veranderingen moeten de veiligheid van onze gebruikers verbeteren, alsmede wat 'visueel gewicht' verminderen." Websites die een EV SSL-certificaat gebruiken krijgen een groen slotje naast de naam van de certificaateigenaar.

In het geval van een standaard SSL-certificaat wordt er een grijs slotje getoond. In het geval van websites die geen SSL-gebruiken of mixed-content bevatten, verschijnt er een icoontje van een wereldbol. Met het verwijderen van het favicon volgt Mozilla Google, dat dit eerder al in Chrome doorvoerde.

Update 15:15
Volgens Mikko Hypponen van het Finse F-Secure zal de maatregel helpen bij het voorkomen van aanvallen waarbij een slotje als favicon wordt gebruikt. Als voorbeeld geeft hij zijn eigen website, die van zo'n favicon is voorzien, waardoor het om een HTTPS-pagina lijkt te gaan.

Reacties (16)
24-04-2012, 12:06 door Anoniem
Waarom niet gewoon een groene kleur van de adresbalk? Het favicon is juist een leuke toevoeging aan een website ;-) vooral het plakken van de website op de bladwijzerwerkbalk.
24-04-2012, 12:20 door Anoniem
Mozilla moet niet te veel Google gaan na-apen hoor ... Firefox moet Firefox blijven en geen Chrome2 !!
Voor mij is de huidige adresbar duidelijk genoeg en indien je geen vertrouwen hebt, kun je het SSL-certificaat controleren.
24-04-2012, 13:11 door Anoniem
Als het alleen maar om een tekeningetje van een slotje gaat, er kunnen immers geen kwaadaardige code's via het favicon doorgestuurd worden naar een websitebezoeker, dan vindt ik ook: Slechte beurt van Firefox.
24-04-2012, 13:29 door Anoniem
Nog minder groen ? Het mag van mij juist wel een beetje meer.
24-04-2012, 13:32 door Anoniem
De favicon blijft wel zichtbaar aan de linkerkant in het tabblad, misschien ook het vermelden waard....
24-04-2012, 15:00 door Zipper306
Mozilla is hard op weg om zijn browser onaantrekkelijk te maken voor gebruikers, met dit soort ongein.
Of danst Mozilla naar de pijpen van Google ?
24-04-2012, 15:47 door N4ppy
wow net even Mikko's page gekeken en ziet er goed uit. Staat ook in de maar dat valt niet echt op.
24-04-2012, 16:09 door Anoniem
Google heeft kennelijk nu 2 browsers in hun stal: Chrome EN Firefox ..... ('Chrome1 en Chrome 2').
Mozilla heeft haar ziel verkocht aan Google voor $900 miljoen.
24-04-2012, 16:40 door Anoniem
Dit is door Mozilla zelf veroorzaakt toen ze opeens besloten het HTTP/HTTPS in de adresbalk te verbergen.

Door die weer zichtbaar te maken bestaat dit issue niet eens:

browser.urlbar.trimURLs;false

Lijkt me een beter oplossing, ik vind die favicons wel mooi staan
24-04-2012, 16:52 door Anoniem
wat heeft iedereen toch problemen met het verdwijnen van die favicon op één van zijn vele plaatsen?
ik vind het een goede zaak eigenlijk want er zijn zat mensen die, als ze lezen dat ze moeten controleren of ze een slotje in hun browser zien, de favicon aanzien voor een teken dat het om een betrouwbare site. verder zullen de meeste gebruikers, lijkt mij zo, het verschil nauwelijks merken op normale sites (meeste mensen kijken naar de site, niet naar het icoontje in de urlbalk, alleen als ze tussen tabbladen wisselen of bookmarks openen zullen ze naar de favicon kijken)
24-04-2012, 19:08 door Anoniem
Weet je wat het beste oplossing is? De klote statusbalk weer instoppen zodat wij de url en dat slotje kunnen zien. Van mij mag de favicon blijven.
24-04-2012, 21:12 door Bitwiper
Door Anoniem op 2012-04-24 16:40: Dit is door Mozilla zelf veroorzaakt toen ze opeens besloten het HTTP/HTTPS in de adresbalk te verbergen.

Door die weer zichtbaar te maken bestaat dit issue niet eens:

browser.urlbar.trimURLs;false
Dank je wel, helaas moet ik binnenkort over naar iets nieuwers dan 3.6.28, hoef ik in elk geval niet meer uit te zoeken hoe ik deze info weer te zien krijg (dit soort info weglaten is m.i. net zo stom als het standaard verstoppen van bestandsextensies in Windows).
25-04-2012, 01:06 door Earl Grey
Door Anoniem: Mozilla moet niet te veel Google gaan na-apen hoor ... Firefox moet Firefox blijven en geen Chrome2 !!
Voor mij is de huidige adresbar duidelijk genoeg en indien je geen vertrouwen hebt, kun je het SSL-certificaat controleren.

Vertel mijn oma maar ff dat ze het SSL-certifcaat moet controleren.
25-04-2012, 01:08 door Earl Grey
Door Anoniem: Als het alleen maar om een tekeningetje van een slotje gaat, er kunnen immers geen kwaadaardige code's via het favicon doorgestuurd worden naar een websitebezoeker, dan vindt ik ook: Slechte beurt van Firefox.

En jij begrijpt de kern van het verhaal gewoon totaal niet.
25-04-2012, 10:41 door Rasalom
Dit is door Mozilla zelf veroorzaakt toen ze opeens besloten het HTTP/HTTPS in de adresbalk te verbergen.
Alleen HTTP wordt verborgen, niet HTTPS. In feite valt een HTTPS verbinding dus beter op, niet minder.

Mozilla is hard op weg om zijn browser onaantrekkelijk te maken voor gebruikers
De fav-icon blijft gewoon zichtbaar op het tabblad, de Awsome bar, de bookmarks enz. het is dus niet bepaald zo dat de icoontjes als zodanig verdwijnen. Websites met een slotje als fav-icon vallen hiermee sneller door de mand. Waarom is dat volgens jou onaantrekkelijk?

Nog minder groen ? Het mag van mij juist wel een beetje meer.
Ik ben het wel eens met de reactie. De achtergrond kleur mogen ze van mij wel in stand houden bij HTTPS verbindingen. Een ietwat groenig slotje is misschien wat te subtiel. Het is een Nightly, dus hopelijk wordt het nog verbeterd.

vooral het plakken van de website op de bladwijzerwerkbalk.
Een slotje plakken op de bladwijzerwerkbalk zal toch niet moeilijker worden dan het plakken van een fav-icon? Dat als tegenargument is... eh... zot misschien?
25-04-2012, 13:03 door Anoniem
Door Anoniem op 2012-04-24 16:40: Dit is door Mozilla zelf veroorzaakt toen ze opeens besloten het HTTP/HTTPS in de adresbalk te verbergen.

Door die weer zichtbaar te maken bestaat dit issue niet eens:

browser.urlbar.trimURLs;false
Ah, dank je, ik had nog niet de moeite genomen dat zelf uit te zoeken.

Door Bitwiper: dit soort info weglaten is m.i. net zo stom als het standaard verstoppen van bestandsextensies in Windows.
O, wat ben ik het hier mee eens. Ik snap wel waarom ze het doen. Ik heb een website op een subdomein bij xs4all draaien en een meerderheid van de mensen aan wie ik die url doorgeef zet er automatisch "www." voor in plaats van "http://", en dan werkt het natuurlijk niet. Daar concludeer ik uit dat mensen denken dat "www." op technisch niveau aangeeft dat het een webpagina is en "http://" begrijpen ze niet. De denkfout die Mozilla (met vele anderen) in mijn ogen maakt is dat je het duidelijker maakt door het verwarrende element te verbergen. Je maakt het wel op korte termijn laagdrempeliger en toegankelijker, maar niet duidelijker: je verbergt zo juist hoe het werkt, en door mensen af te schermen van basale inzichten over hoe hun computer en internet werken maak je ze uiteindelijk alleen maar gevoeliger voor allerlei vormen van malware en misbruik, en dan moet je weer allerlei toeters en bellen verzinnen om dat te ondervangen. Je kan het beter gewoon uitleggen.

Bijvoorbeeld met een analogie:

Mijn vrienden hebben gasten: John uit Engeland en Jaqueline uit Frankrijk, en bij hun buren logeert Joachim uit Duitsland. Ze spreken allemaal alleen hun eigen taal, dus als ik met ze wil praten moet ik de juiste taal gebruiken. In het formaat voor internetadressen zou ik ze zo te spreken krijgen:

englisch://john.mijn-vrienden.nl/
français://jaqueline.mijn-vrienden.nl/
deutsch://joachim.buren-van-mijn-vrienden.nl/

De website van security.nl spreekt een taal die http heet, en de website zelf heet www. Dan wordt het: http://www.security.nl/. En www is echt alleen maar een naam; een ontzettend veel gebruikte naam, maar niet meer dan een naam, die niet aangeeft welke taal de website spreekt. De website had ook gewerkt als hij wladiwostok of amoebe had geheten: http://amoebe.security.nl/. En net zo min als je iemand die Jan heet met Erik-Jan aanspreekt moet je die website met http://www.amoebe.security.nl/ aanspreken, dan krijg je geen antwoord: www.amoebe is zijn naam niet. Dat je adressen zonder "http://" kan intypen in de adresbalk is omdat dat de standaardtaal voor praten met webservers is, net als Nederlands de standaardtaal voor Nederland is. Als je het weglaat neemt je webbrowser aan dat je http bedoelt. Beveiligde websites spreken een soort geheimtaal die niet te begrijpen is voor iemand die de lijn aftapt: https.

Zo'n uitleg moet toch verhelderend zijn voor de meeste mensen? Wat denken jullie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.