image

Google gaat "Veilig" melding bij https-sites in Chrome verwijderen

vrijdag 18 mei 2018, 09:25 door Redactie, 10 reacties

Vanaf september dit jaar zal Chrome bij https-websites niet meer de melding "Veilig" laten zien. Uiteindelijk zal ook het slotje niet meer worden getoond, zo heeft Google aangekondigd. Begin april werd al bekend dat Google dit van plan was, alleen ontbraken toen concrete details.

De internetgigant wil de "positieve beveiligingsindicatoren" gaan verwijderen zodat gebruikers alleen worden gewaarschuwd als er iets mis is. "Gebruikers moeten kunnen verwachten dat het web standaard veilig is en ze worden gewaarschuwd wanneer er een probleem is", zegt Emily Schechter, productmanager Chrome Security. In september met de lancering van Chrome 69 zal daarom de melding "Veilig" niet meer worden getoond. Uiteindelijk zal ook het slotje worden uitgefaseerd.

Google was eerder van plan om alle http-sites standaard als "Onveilig" te bestempelen. Volgens Schechter was het aantal http-sites echter te groot om die allemaal van een "duidelijke rode waarschuwing" te voorzien. Vanaf oktober, met de lancering van Chrome 70, zal echter bij alle http-sites waar gebruikers data kunnen invoeren een dergelijke waarschuwing verschijnen. "We hopen dat deze aanpassingen voor een web zullen zorgen dat standaard veilig is te gebruiken", aldus Schechter.

Image

Reacties (10)
18-05-2018, 10:08 door Anoniem
Ze krijgen een beetje teveel macht zo. Als je in Chrome gewoon bent dat onveilige websites een melding geven terwijl veilige websites dat in andere browsers doen, ga je hier altijd op moeten letten...
18-05-2018, 10:10 door Anoniem
Fijn dat google dat allemaal maar bepaald, wanneer wordt die toko eens opgesplitst? Ik snap die koeien ook niet die Chrome blijven gebruiken.
18-05-2018, 10:45 door Dot-ted
Volgens Schechter was het aantal http-sites echter te groot om die allemaal van een "duidelijke rode waarschuwing" te voorzien.

Begrijp ik het goed dat ze een lijst aan willen leggen van http-websites, en op basis daarvan een specifieke melding willen geven?
Ik had verwacht dat er simpelweg zou worden gekeken naar het gebruikte protocol van website die wordt bezocht, daar heb je geen lijst voor nodig.
18-05-2018, 11:28 door Anoniem
"Gebruikers moeten kunnen verwachten dat het web standaard veilig is en ze worden gewaarschuwd wanneer er een probleem is"
Deze idiologische gedachte past niet bij de praktijk.

Sinds het bestaan van het web is de praktijk dat we websites te makkelijk vertrouwen. Gebruikers snappen de risico's niet en krijgen verkeerde signalen over veiligheid. De interpretatie dat een website veilig is omdat er een slotje in beeld staat heeft daar helaas ook aan bijgedragen. Goed dus dat die associatie straks in chrome niet meer gemaakt kan worden. Maar het alternatief dat Google geeft past niet bij de praktijk.

Verwachten dat het web veilig is tenzij er een waarschuwing komt is met de huidige informatie een verkeerd uitgangspunt. Niemand kan goed bepalen wanneer een website veilig is. Veilig is een kwestie van vertrouwen maar gebruikers vertrouwen te makkelijk. Ze kunnen zelf niet goed bepalen waarom ze vertrouwen hebben door gebrek aan kennis. In plaats van gebruikers daarin te helpen levert google een schijnoplossing.

Door voor te stellen dat een website veilig is als er geen waarschuwing in beeld komt draagt ook niet bij aan een goed beeld over een veilig web. Waarschuwingen ontstaan vaak pas nadat het al is mis gegaan en omdat iemand het gevaar daarna goed kan inschatten en deelt met andere waarschuwers. En waarschuwingen worden wel gegeven maar er is zelden goede controle of het gevaar geweken.

Bij de google security afdeling weten ze dat het waarschuwen niet voldoende is om als gebruiker te kunnen bepalen of het web veilig is. Dat google dan de keuze maakt om alleen waarschuwingen te leveren kan een goede keuze zijn, maar als dat gebaseerd is op het beeld dat het web maar veilig moet kunnen worden beschouwd als er geen waarschuwingen zijn is een belachelijk standpunt.
18-05-2018, 11:44 door Anoniem
Maar als er zelfs geen slotje voor staat, hoe controleer je dan snel het gebruikte certificaat?
18-05-2018, 13:31 door Anoniem
Door Anoniem: Maar als er zelfs geen slotje voor staat, hoe controleer je dan snel het gebruikte certificaat?

Hoezo, maakt toch niet uit? Je kunt toch in de toekomst maar een certificate registreren dat van Google uuhh, dat het Letsencrypt geloof ik.
18-05-2018, 15:06 door Anoniem
Men kan het publiek toch niet direct vertellen, dat de meeste websites qua veiligheid gatenkaas zijn en dat het vaak nog zo goed gaat en dat dit dan meestal meer geluk als wijsheid is.

60% van alle met WordPress CMS gemaakte websites zijn inherent onveilig, ook al slaat Google Safebrowsing geen alarm.
De kernel content management software en/of de plug-ins zijn niet voldoende geupdate of van patches voorzien.
JQuery libraries moeten nodig worden afgevoerd of zijn kwetsbaar. Er zitten DOM-XSS sinks en sources in de website code,
die misbruikt kunnen worden. Het website subdomein is overgenomen door hackers en PHISHT, scamt en spamt, geeft via cloaking iets anders door aan Googlebot dan aan Google. User enumeration niet uitgezet, directory listing niet uitgezet. Hoster heeft last van excessieve info proliferatie, is kwetsbaar, naamserver info proliferatie, naam mismatches - certificaat issues, noem de hele riedel maar op - eindeloos verhaal, je wordt er niet direct vrolijk van.

....en tante Mien maar rustig en onbezorgd verder klikken, BINGO en kassa voor de grote Big Tech dataslurper. Security is a last resort thing, en voorlopig blijft dat zo. Kan ook de ene CEO de andere lekker bespioneren en dwarszitten, de reden voor de meeste hacks.

Wanneer gaan we onze ogen is openen voor de werkelijke situatie i.p.v. elkaar sprookjes te vertellen.

Jodocus Oyevaer
18-05-2018, 15:23 door Anoniem
Door Anoniem:
Door Anoniem: Maar als er zelfs geen slotje voor staat, hoe controleer je dan snel het gebruikte certificaat?

Hoezo, maakt toch niet uit? Je kunt toch in de toekomst maar een certificate registreren dat van Google uuhh, dat het Letsencrypt geloof ik.

Op zich zou het wel een grote verbetering zijn als er nog maar EEN vertrouwde certificaatuitgever was.
Alleen welke dat dan moet zijn, dat is een lastig probleem natuurlijk.
19-05-2018, 12:32 door Anoniem
Bestaat er geen addon om dit te kunnen blijven gebruiken??
20-05-2018, 11:18 door Anoniem
Door Anoniem: Fijn dat google dat allemaal maar bepaald, wanneer wordt die toko eens opgesplitst? Ik snap die koeien ook niet die Chrome blijven gebruiken.

Dat snap ik ook niet. Die zeggen tegen alles "boe"...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.