image

Google beschermt gebruikers zoekmachine met HSTS

zaterdag 30 juli 2016, 08:36 door Redactie, 10 reacties

Google heeft de eigen zoekmachine van een extra beveiligingsmaatregel voorzien die moet voorkomen dat gebruikers het doelwit van man-in-the-middle-aanvallen worden. Dat heeft de internetgigant via een blog bekendgemaakt. De maatregel heet HTTP Strict Transport Security (HSTS) en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Volgens Google is het implementeren van HSTS over het algemeen vrij eenvoudig, maar vanwege de complexiteit van Google vereiste dit extra werk. Zo zorgde de implementatie ervoor dat Google’s Kerstman Tracker vorig jaar opeens niet meer werkte. De maatregel is nu voor www.google.com ingesteld en zal de komende maanden ook voor andere producten en domeinen van Google worden doorgevoerd.

Reacties (10)
30-07-2016, 09:39 door Anoniem
Onduidelijk bericht!

Gaat dit nou om het zoeken met google (ongeacht welke browser je gebruikt) of om het zoeken met google binnen de browser van google 'Chrome'?
30-07-2016, 12:25 door Anoniem
Deze verandering geeft ellende met "captive portals" zoals bijvoorbeeld op openbare hotspots waar je eerst
akkoord moet gaan met de voorwaarden of een code moet invoeren nadat je airtime gekocht hebt.
Mensen die google als startpagina hebben ingesteld komen er niet meer op. Dat is nu nog makkelijk te omzeilen
door deze instelling in iets anders te veranderen, maar op den duur wordt dat steeds lastiger natuurlijk.
Ook zal Google zich wellicht niet bedacht hebben dat deze wijziging het gevolg zou hebben dat mensen hun pagina
niet meer als startpagina gebruiken...

Hun eigen browser Chrome, die standaard Google als startpagina gebruikt, komt hierdoor ook in de problemen...
"Met Chrome kom ik niet meer op de WiFi, met Firefox nog wel. Dus toch maar weer naar Firefox".
Zo werkt de eindgebruiker... ik ben benieuwd of we dit terug gaan zien in de bekende statistieken.
30-07-2016, 13:33 door Anoniem
Door Anoniem: Onduidelijk bericht!

Gaat dit nou om het zoeken met google (ongeacht welke browser je gebruikt) of om het zoeken met google binnen de browser van google 'Chrome'?

HSTS werkt onafhankelijk van je (moderne) browser keuze.
30-07-2016, 13:48 door Anoniem
Door Anoniem: Onduidelijk bericht!

HSTS is een server-side maatregel dus die twijfels lijken me niet terecht.
30-07-2016, 18:58 door dnmvisser
Door Anoniem: Deze verandering geeft ellende met "captive portals" zoals bijvoorbeeld op openbare hotspots waar je eerst
akkoord moet gaan met de voorwaarden of een code moet invoeren nadat je airtime gekocht hebt.
Mensen die google als startpagina hebben ingesteld komen er niet meer op.

Dit is precies de bedoeling, Google voorkomt zo dat de dienst onbeveiligd gebruikt wordt - zelfs door gebruikers die dat (denken te) willen.
Zodra de captive portal meuk achter de rug is en er weer een transparante internetverbinding is, werkt alles weer zoals het hoort - en veilig.

Gebruiken blijken altijd SSL waarschuwingen weg te klikken, maar met HSTS is dit een stuk moeilijker geworden.
Hopelijk wordt dit helemaal onmogelijk gemaakt in nieuwere versies browsers.
30-07-2016, 19:59 door Anoniem
Door dnmvisser:
Dit is precies de bedoeling, Google voorkomt zo dat de dienst onbeveiligd gebruikt wordt - zelfs door gebruikers die dat (denken te) willen.
Zodra de captive portal meuk achter de rug is en er weer een transparante internetverbinding is, werkt alles weer zoals het hoort - en veilig.

Maar dat gaat dan dus wel ten koste van openbare en semi-openbare WiFi toegang.
Immers deze moet de mogelijkheid hebben om met de gebruiker te communiceren alvorens de toegang te verlenen.
Als die "meuk achter de rug is" zal ieder dus verplicht worden via zijn eigen 4G kaartje oid te werken, en dat is niet
voor iedereen een verbetering.
30-07-2016, 23:07 door Anoniem
Door Anoniem: Deze verandering geeft ellende met "captive portals" zoals bijvoorbeeld op openbare hotspots waar je eerst
akkoord moet gaan met de voorwaarden of een code moet invoeren nadat je airtime gekocht hebt.
Mensen die google als startpagina hebben ingesteld komen er niet meer op. Dat is nu nog makkelijk te omzeilen
door deze instelling in iets anders te veranderen

https://hstspreload.appspot.com
30-07-2016, 23:14 door Anoniem
Door Anoniem: Onduidelijk bericht!

Gaat dit nou om het zoeken met google (ongeacht welke browser je gebruikt) of om het zoeken met google binnen de browser van google 'Chrome'?

Google heeft de eigen zoekmachine van een extra beveiligingsmaatregel voorzien......bla bla bla.

Wat denk je dat dit betekend?

Ben je te dom, of weet je niet wat begrijpend lezen betekend?
31-07-2016, 12:28 door Anoniem
Door dnmvisser:
Door Anoniem: Deze verandering geeft ellende met "captive portals" zoals bijvoorbeeld op openbare hotspots waar je eerst
akkoord moet gaan met de voorwaarden of een code moet invoeren nadat je airtime gekocht hebt.
Mensen die google als startpagina hebben ingesteld komen er niet meer op.

Dit is precies de bedoeling, Google voorkomt zo dat de dienst onbeveiligd gebruikt wordt - zelfs door gebruikers die dat (denken te) willen.
Zodra de captive portal meuk achter de rug is en er weer een transparante internetverbinding is, werkt alles weer zoals het hoort - en veilig.

Gebruiken blijken altijd SSL waarschuwingen weg te klikken, maar met HSTS is dit een stuk moeilijker geworden.
Hopelijk wordt dit helemaal onmogelijk gemaakt in nieuwere versies browsers.

Laten we het hopen van niet. Ik kom nu al veel sites tegen waar de TLS kapot is en je vrijwel niet meer op de site kan komen, ook bij sites waar ik alleen maar wat openbare informatie wil raadplegen. Meestal gebruik ik dan een andere browser die het wel makkelijk maakt om gewoon op de site te komen. Dit wordt alleen maar erger en wat mij betreft moet de gebruiker vrijwel altijd de mogelijkheid hebben om zelf te kiezen voor het verlagen van de mate van beveiliging aan de client-side.
Hetzelfde geldt voor DNSSEC. Een waarschuwing is vaak beter dan een harde fout zonder goede foutindicatie of snelle work around (waar mogelijk) omdat de oorzaak vaak een (tijdelijk) configuratieprobleem is en je niet wilt dat de gebruiker onnodig beveiligingsmaatregelen gaat uitschakelen of andere systeemwijzigingen gaat doorvoeren om het toch maar werkend te krijgen. Hulp in de trant van "schakel heel UAC/driver signing/SELinux maar uit" of "voer alles uit als root" als het effe niet lukt is voor (onwetende) gebruikers al snel schadelijker dan een heldere melding en slimme, tijdelijke oplossing. De analogie gaat niet helemaal op maar het gaat om het punt.
31-07-2016, 13:24 door Anoniem
Voor HSTS stricte protectie zijn verschillende browser addons beschikbaar. Vertrouw niet alleen op google.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.