Nieuws
image

Google wil HTTP als onveilig in Chrome weergeven

maandag 15 december 2014, 15:12 door Redactie, 21 reacties

Als het aan Google ligt zullen straks alle internetgebruikers die een website bezoeken die over HTTP wordt aangeboden te zien krijgen dat deze website niet veilig is. Het Chrome Security Team heeft namelijk een voorstel gedaan om de "gebruikerservaring" bij het bezoeken van HTTP-websites in alle browsers aan te passen. Op deze manier wil Google dat het duidelijker voor gebruikers wordt dat gegevens die over HTTP worden uitgewisseld niet zijn beveiligd.

Volgend jaar gaat Google daarom een plan opstellen om deze overstap in ieder geval binnen Chrome te realiseren. "We moeten allemaal veilig data op het web kunnen uitwisselen. Als er geen dataveiligheid is moet de browser dit expliciet weergeven, zodat gebruikers een geïnformeerde beslissing kunnen maken over hoe ze willen verdergaan", aldus het voorstel.

Beveiligingsniveaus

Volgens het Chrome Security Team zijn er drie beveiligingsniveaus voor websites. Het eerste niveau is veilig, in het geval de website volledig over HTTPS wordt aangeboden. Het tweede niveau is dubieus, als er een geldig SSL-certificaat voor het HTTPS-gedeelte wordt gebruikt, maar er bijvoorbeeld TLS-fouten zijn of er passieve content over HTTP wordt aangeboden. Als laatste is er nog onveilig, in het geval de website over HTTP wordt aangeboden of een ongeldig HTTPS-certificaat of verkeerde implementatie gebruikt.

De opstellers van het voorstel merken op dat mensen over het algemeen de afwezigheid van waarschuwingssignalen niet opvangen. "De enige situatie waarin browsers gebruikers gegarandeerd niet zullen waarschuwen is precies als er geen enkele kans op veiligheid is: als de website via HTTP wordt aangeboden." Het Chrome Security Team roept browserontwikkelaars dan ook op, als ze het met het voorstel eens zijn, om te kijken hoe ze de benodigde aanpassingen kunnen doorvoeren. Google adviseert een gefaseerde aanpak om HTTP-sites langzaam als onveilig weer te geven.

Reacties (21)
15-12-2014, 15:33 door Anoniem
"Als het aan Google ligt zullen straks alle internetgebruikers die een website bezoeken die over HTTP wordt aangeboden te zien krijgen dat deze website niet veilig is."

Het bezoeken van bijvoorbeeld de website van het weerbericht, waar je geen enkele gevoelige informatie mee uitwisselt, dient dus als ''onveilig'' ervaren te worden ? Niet met iedere website wordt gevoelige informatie uitgewisseld. En het gebruik van HTTPS is dan ook niet altijd relevant.
15-12-2014, 15:46 door Anoniem
Google gaat SSL certificaten verkopen?
15-12-2014, 15:47 door Anoniem
Door Anoniem: "Als het aan Google ligt zullen straks alle internetgebruikers die een website bezoeken die over HTTP wordt aangeboden te zien krijgen dat deze website niet veilig is."

Het bezoeken van bijvoorbeeld de website van het weerbericht, waar je geen enkele gevoelige informatie mee uitwisselt, dient dus als ''onveilig'' ervaren te worden ? Niet met iedere website wordt gevoelige informatie uitgewisseld. En het gebruik van HTTPS is dan ook niet altijd relevant.

Is the wrong answer...
15-12-2014, 15:48 door yobi
Updaten van Chrome gaat ook via http......
15-12-2014, 16:17 door Anoniem
Hoewel het een 'leuk' idee is, vind ik het niet terecht en daarnaast nog paar jaar te vroeg. Het web wordt al langzamerhand steeds meer HTTPS, maar om dit op zo'n lompe manier te forceren vind ik echt te ver gaan.
15-12-2014, 16:39 door Anoniem
Google is een beetje dul..

Privacy is er toch al niet meer hij deze gigant. Dus waarom andere websites flsggen als onveilig. Een website hoeft niet per se https te hebben om veilig te zijn. Tenzij je een doelwit bent of shit doet die niet legaal is.. Of je een open hotspot gebruikt. Wat dus super stom zou zijn...
15-12-2014, 17:12 door Eric-Jan H te D
Gezien het voorgaande bericht kan Google beter zichzelf als onveilig markeren.
15-12-2014, 19:05 door Anoniem
Is the wrong answer...

Dank voor je beoordeling van mijn reactie. Kan je deze ook nog inhoudelijk onderbouwen ? Denk je dat, ongeacht het risico, HTTPS voor iedere website nodig is ? Ook al wissel je geen enkele vertrouwelijke informatie uit met die website ? Of zou een risk assessment, om te bepalen welke mate van beveiliging nodig is, ook nut hebben ?

Indien je mijn reactie als ''fout'' aanmerkt, dan kan je dat vast ook wel onderbouwen.
15-12-2014, 19:16 door Anoniem
Leuk initiatief maar niet echt realistisch. Zo zie ik de meerwaarde van HTTPS bij bijvoorbeeld nieuwsites niet en kost het de beheerder van een site gewoon extra geld voor certificaten etc. Daarbij zal het de gebruiker afschrikken omdat ze denken dat de website onveilig is.
15-12-2014, 19:33 door Anoniem
Als ze het dan effe makkelijker maken om onder linux een private cert als veilig aan te geven, zoals dat onder Windows een eitje is.
15-12-2014, 20:56 door Anoniem
Het markeren als onveilig is nog niet eens zo'n gek idee. Het is een kwestie van mensen bewust maken van het feit dat de data over http niet veilig is, dat wil NIET zeggen dat alle sites ook dan maar https moeten gaan doen. De verkeersinfo kan nog steeds prima over http maar dan dus met de toevoeging "onveilig", onveilig is dat geval niet de juiste term maar "READABLE" zou dan meer in de richting komen.
15-12-2014, 21:30 door Anoniem
Door Anoniem: Leuk initiatief maar niet echt realistisch. Zo zie ik de meerwaarde van HTTPS bij bijvoorbeeld nieuwsites niet en kost het de beheerder van een site gewoon extra geld voor certificaten etc. Daarbij zal het de gebruiker afschrikken omdat ze denken dat de website onveilig is.
Ik wel, bijna iedere site hanteert tegenwoordig accounts. Die heb je dus ook overal, zo ook bij nieuwssites denk aan de buren bij bijvoorbeeld tweakers.net, HWinfo en ook deze site security.nl (al kan ik hier prima zonder).

het probleem is niet dat het een gerbuiker zal afschrikken, een gebruiker zal het binnen no time als gewoon ervaren!. 2 misschien 3 keer is het wat is dat, en verder met OK klik. en zo waar mist het zijn doel.

voor ons (iets bewustere internet gebruikers) zullen het handig vinden. rood owh ik moet niet inloggen.
groen it's time to post!

hopelijk maar waarschijnlijk niet (snel) zet het beheerdere/organisaties aan het denken https te gaan gebruiken
15-12-2014, 21:35 door Anoniem
Door Anoniem: Als ze het dan effe makkelijker maken om onder linux een private cert als veilig aan te geven, zoals dat onder Windows een eitje is.

Waar blijft je korte howto van beide besturingssystemen? Praatjes vullen geen gaatjes ..
15-12-2014, 21:58 door Anoniem
En ik pas dan de content van die weersite aan zodat deze ook een iframe bevat naar mijn exploitkit!
Of ik pas het antwoord op je DNS request aan en stuur je naar mijn exploitkit. Jij merk niks want met http heb je geen zekerheid met wie je communiceert!

Je wil weten met wie je praat. Als dat is vastgesteld wil je zeker weten dat de content die je krijgt niet onder weg is aangepast!
15-12-2014, 23:32 door Anoniem
Firefox heeft dit al heel lang in de vorm van extensies:

https://addons.mozilla.org/en-US/firefox/addon/calomel-ssl-validation/
https://addons.mozilla.org/en-US/firefox/addon/safe/
16-12-2014, 01:44 door Anoniem
Mijn browser doet dit al. Die zet een -s achter http als de verbinding prive is.
16-12-2014, 04:22 door Anoniem
Belachelijk. Ik heb een statische website (html/css only) voor ons restaurant (simpelweg omdat er dan al een lager risico is op schadelijke code dan met dynamische content), er worden geen gebruikersgegevens verwerkt of opgeslagen en ondanks dat zal Google dan toch een waarschuwing geven??? Tijd om met zijn allen Chrome te dumpen....
16-12-2014, 07:59 door Anoniem
En ik pas dan de content van die weersite aan zodat deze ook een iframe bevat naar mijn exploitkit!

Tja, en je vertrouwt een compromised website wel, wanneer je er met HTTPS naar toe kan verbinden ? ;))
16-12-2014, 08:44 door Anoniem
Door Anoniem: En ik pas dan de content van die weersite aan zodat deze ook een iframe bevat naar mijn exploitkit!
Of ik pas het antwoord op je DNS request aan en stuur je naar mijn exploitkit. Jij merk niks want met http heb je geen zekerheid met wie je communiceert!

Je wil weten met wie je praat. Als dat is vastgesteld wil je zeker weten dat de content die je krijgt niet onder weg is aangepast!

Goed punt, die had ik zo niet op mijn vizier staan.

(Gisteren, 20:56 door Anoniem)
16-12-2014, 10:27 door Anoniem
chrome is onveilig
16-12-2014, 18:27 door Anoniem
Door Anoniem:
En ik pas dan de content van die weersite aan zodat deze ook een iframe bevat naar mijn exploitkit!

Tja, en je vertrouwt een compromised website wel, wanneer je er met HTTPS naar toe kan verbinden ? ;))
Lees nog eens wat ik geschreven heb! Het gaat om het transport van de data over het internet en wat er dan mee gedaan kan worden, niet om of ik meer of minder vertrouwen heb in een HTTP of HTTPS website.

Een andere punt waarom je nog HTTPS op alle sites zou willen is dat anders je ISP je headers kan aanpassen:
https://www.eff.org/deeplinks/2014/11/verizon-x-uidh
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search