Google wil kortere levensduur voor cookies via http
Om de privacy en veiligheid van internetgebruikers te verbeteren moeten cookies die via het onbeveiligde http worden verstuurd een kortere levensduur krijgen. Daarvoor heeft Chrome-engineer Mike West een voorstel op GitHub en Google Groups gedaan.
"Cookies die via het onversleutelde http worden gestuurd zijn zichtbaar voor iedereen op het netwerk. Deze zichtbaarheid stelt behoorlijke hoeveelheden data bloot aan aanvallers op het netwerk", aldus West, die op Twitter meldt dat via onversleutelde kanalen verstuurde cookies voor "echte risico's" voor de privacy van gebruikers zorgen. West ziet dan ook liever dat cookies alleen nog via https worden uitgewisseld.
Om het risico van onveilig verstuurde cookies te verkleinen wil West de levensduur beperken. "In plaats van voldoende oude cookies via onbeveiligde verbindingen te versturen zouden we ze moeten verwijderen uit de cookie-jar van de gebruiker", stelt de engineert. Zodra een gebruiker met http://example.com verbinding maakt, wordt er een "Cookie" header gemaakt. Als cookies die in deze header worden geplaatst voldoende oud zijn, worden ze van de header uitgezonderd en verwijderd. Het plan is om als levensduur te beginnen met bijvoorbeeld een jaar en dat dan verder af te bouwen om zo het risico te mitigeren dat cookies via onbeveiligde verbindingen vormen.
Volgens West kunnen cookies "fragiel" zijn, maar zullen gebruikers van een kortere cookie-levensduur waarschijnlijk weinig merken. "Aan de andere kant zullen diensten die van langlevende onveilige cookies gebruikmaken waarschijnlijk niet blij zijn, wat goed is. Er zijn duidelijke risico's bij het versturen van cookies via onbeveiligde kanalen, met name als het op grote schaal wordt gedaan als onderdeel van een advertentienetwerk." West heeft nu om feedback op zijn voorstel gevraagd. In het verleden heeft Mozilla al een keer naar een soortgelijke oplossing gekeken.
http voor informatieve en puur statische html websites zonder cookies, cgi, php, asp, javascript, flash, trackers of andere crap. Supersnel, Superstabiel, Superveilig, Supercompatibel.
https voor portals waar gebruikers gegevens in kunnen verwerken.
En een waakhond die boetes oplegt als de websites niet in een van de 2 vakjes past. Eventueel bij de http variant geen BTW heffen op de domeinnaam om zo veilige, snelle websites te promoten en http only verplicht stellen voor websites die een publieke taak hebben betreft informatievoorziening (b.v. crisis.nl etc)
Verder hoeven niet-commerciële Nederlandse websites ook niet vanuit het buitenland te benaderen zijn.
Jij spoort niet of begrijpt het verschil tussen HTTP en HTTPS niet.
Informatieve pagina’s kunnen zeer privacy gevoelig zijn. Gewoon als voorbeeld: informatieve pagina’s over verschillende geslachtsziektes of sexuele voorkeuren.
Daarbij geeft HTTP geen beveiliging tegen het aanpassen van een site via een MiTM aanval (denk aan al die handige onbeveiligde hotspots) om reclame/virussen of erger gewoon te rmbedden in de opgevraagde pagina.
HTTPS is eigenlijk gewoon een must voor elke pagina en met de gratis certificaten die tegenwoordig te krijgen zijn is er als webmaster eigenlijk geen excuus meer om de site niet op HTTPS te zetten.
Jij spoort niet of begrijpt het verschil tussen HTTP en HTTPS niet.
Informatieve pagina’s kunnen zeer privacy gevoelig zijn. Gewoon als voorbeeld: informatieve pagina’s over verschillende geslachtsziektes of sexuele voorkeuren.
Daarbij geeft HTTP geen beveiliging tegen het aanpassen van een site via een MiTM aanval (denk aan al die handige onbeveiligde hotspots) om reclame/virussen of erger gewoon te rmbedden in de opgevraagde pagina.
HTTPS is eigenlijk gewoon een must voor elke pagina en met de gratis certificaten die tegenwoordig te krijgen zijn is er als webmaster eigenlijk geen excuus meer om de site niet op HTTPS te zetten.
@Anoniem om 21:53
HTTPS heeft niets met malware te maken!!! Het heeft meer te maken met privacy. Jezelf verborgen houden op welke 'pagina' je naartoe surft (niet welk domein), maar vooral ook om je login gegevens niet te leaken. (dit in 1 zin uitgelegd)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.