image

Toename van websites die bezoekers van http naar https doorsturen

donderdag 1 maart 2018, 16:02 door Redactie, 4 reacties

Het aantal websites dat bezoekers van http naar https doorstuurt is de afgelopen acht maanden sterk gestegen, zo blijkt uit onderzoek van Mozilla onder de 1 miljoen populairste websites volgens meetbureau Alexa. De browserontwikkelaar keek voor het onderzoek naar het gebruik van verschillende beveiligingsmaatregelen, zoals https, HSTS en Content Security Policy, alsmede het doorsturen van http naar https.

Sinds de laatste meting in juni is het aantal websites dat https ondersteunt met 19 procent gestegen, wat neerkomt op 83.000 websites. In de afgelopen periode hebben daarnaast nog eens 97.000 websites besloten om standaard via https te worden aangeboden. Nog eens 16.000 websites verbieden via HSTSs zelf toegang tot http en sturen bezoekers meteen door naar https. Het doorsturen van http naar https wordt door bijna 33 procent van de websites gedaan, een stijging van 43 procent ten opzichte van juni. Ook Content Security Policy, een technologie die tegen cross-site scripting-aanvallen moet beschermen kende procentueel een sterke groei, maar wordt nog altijd door relatief weinig websites toegepast.

Via het Mozilla Observatory worden websites ook beoordeeld op het gebruik van de eerder genoemde en andere beveiligingmaatregelen. Ondanks de betere cijfers in februari worden veel maatregelen niet door websites genomen waardoor nog altijd 90 procent een "F" scoort, wat de laagste beoordeling is. Ten opzichte van de vorige periode daalde dit aantal wel met bijna 3 procent. Het aantal websites met een A+, de hoogste beoordeling, steeg met 38 procent van .013 procent naar .018 procent.

Reacties (4)
01-03-2018, 16:57 door Anoniem
Dit nieuws is dan weer daarbij wat minder: 23.000 https certificaten, die ingetrokken moeten worden:
https://www.theregister.co.uk/2018/03/01/trustico_digicert_symantec_spat/

Leuk onderwerpje voor Bitwiper om commentaar op te geven.

Op het gratis geautomatiseerd alternatief kan het ook fout gaan:

Het certificaat bij server.media-root.de is niet correct geïnstalleerd.
De domein naam is niet in overeenstemming met de 'certificate common name' of SAN.
Waarschuwingen:
RC4
Uw server encryptie instellingen zijn kwetsbaar. Deze server gebruikt het RC4 cipher algorithm, dat niet veilig is.
SSLv3
Uw server's encryptie instellingen zijn kwetsbaar.. Deze server gebruikt het SSLv3 protocol, dat niet veilig is.

Deze server is kwetsbaar voor::
Poodle (SSLv3 protocol)
Deze server is kwetsbaar voor een Poodle (SSLv3) aanval.

Let's Encrypt Authority X3 certificaat
media-root.de tested certificaat (voor 13 adressen op 1 en hetzelfde IP van server.media-root.de).

Zo schiet het dus niet erg op met de veiligheid op de website infrastructuur.
Jammer, maar wel ondanks alle goede bedoelingen een situatie, die we nog vaak genoeg aantreffen,
waarvan akte,

Jodocus Oyevaer
01-03-2018, 18:56 door Anoniem
Security.nl via het Mozilla Observatory:
Content Security Policy -25 Content Security Policy (CSP) header not implemented
Redirection -5 Initial redirection from http to https is to a different host, preventing HSTS
X-Content-Type-Options -5 X-Content-Type-Options header not implemented
X-XSS-Protection -10 X-XSS-Protection header not implemented
Resultaat:
C: 55/100 punten
01-03-2018, 19:23 door Anoniem
Jawel, goed gezien, beste anoniem van 18:56,

Deden er dat maar wat vaker en ook via de volgende scans is wat inzicht te verkrijgen al is het in beta: https://privacyscore.org/ en tevens hier https://urlscan.io/domain/security.nl

Web admins zouden inderdaad eens wat meer moeten kijken naar "best practices" en in hoeverre ze die implementeren (security headers bij voorbeeld, same origin policy handhaving en nog een hele reeks andere issues.).

Alles snel via "security through obscurity"achter een versleuteld https everywhere jassen, i
s wel fijn voor de leek en de connectie-veiligheid per se,
maar het verhult vel van wat er werkelijk aan onveiligheid onaangeroerd blijft.

Niet dat ik het niet eens bent of niet blij ben met Google Safe Browsing initiatieven in deze,
zoals https everywhere, phishing alerts e.d.(cloaking, iframes), drijvende kracht nu achter VirusTotal e.d.
maar het kan fundamenteler, lijkt mij.

Jodocus Oyevaer
02-03-2018, 00:11 door Anoniem
En voor degenen, die het zelf eens willen bekijken en na-checken, het volgende.

Veel plezier met de linkjes.

Hier zien we bij voorbeeld hoe het project https everywhere er voor staat:
https://www.eff.org/https-everywhere/atlas/

Ook is er nog al wat te doen ten aanzien van het verwijderen van af te voeren jQuery bibliotheken:
retire.insecurity.today/#

Kijk met deze trackers SSLextensie eens hoe veilig de inlog op een website verloopt
en in hoeverre u gevolgd kan worden:
https://chrome.google.com/webstore/detail/tracker-ssl/hgoabgkpjcbliklekfgepfdlmcnkjnao?utm_source=chrome-app-launcher-info-dialog

En als toetje nog een Google gedreven project:
http://www.domxssscanner.com/scan?url=
voor een overzicht van sources en sinks.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.