image

Chrome stopt met weergeven ftp-content en public key pinning

woensdag 19 december 2018, 12:55 door Redactie, 3 reacties

De volgende versie van Google Chrome zal geen ftp-content meer in de browser weergeven, ook zal de ondersteuning van public key pinning worden verwijderd. Dat heeft Google bekendgemaakt. Volgens de techgigant is het uit 1971 stammende file transfer protocol (ftp) een niet te beveiligen legacy protocol.

"Wanneer zelfs de Linux-kernel er afscheid van neemt is het tijd om verder te gaan", laat Google weten. Het stopzetten van de ftp-ondersteuning vindt gefaseerd plaats. Met Chrome 72 zal de browser geen content van ftp-servers meer in de browser weergeven. In plaats daarvan worden afbeeldingen, filmpjes en andere content gedownload. Chrome zal nog wel de inhoud van een ftp-directory weergeven, maar alle non-directory listings downloaden in plaats van in de browser weer te geven. Eerder besloot Mozilla al om in Firefox geen ftp-content meer te laden.

Met Chrome 72 zal Google ook de ondersteuning van public key pinning stopzetten. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt.

Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van "hostile pinning". Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen.

Verder zal Chrome 72 geen pop-ups toestaan tijdens het unloaden van pagina's, ongeacht of de pop-upblocker staat ingeschakeld. Daarnaast heeft Google het einde van de ondersteuning van TLS 1.0 en 1.1 aangekondigd. Deze protocollen worden gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. Zowel TLS 1.0 als 1.1 hebben verschillende zwakheden. Google wil daarom alleen nog TLS 1.2 en nieuwer gaan ondersteunen. Met de lancering van Chrome 81 begin 2020 zal de ondersteuning van TLS 1.0 en 1.1 waarschijnlijk worden stopgezet. Chrome 72 staat gepland voor de week van 29 januari 2019.

Reacties (3)
19-12-2018, 18:39 door Anoniem
Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Ondanks de bescherming die de maatregel biedt kan het ook worden gebruikt voor het uitvoeren van een denial of service-aanval tegen een website en is er een risico van "hostile pinning". Dit is het geval wanneer een aanvaller een onterecht uitgegeven certificaat weet te verkrijgen.

Ja, zo kun je nog wel een eind doorredeneren dat er eigenlijk geen beveilging nodig is want er is altijd wel een mogelijkheid bestaat om eromheen te komen of om te misbruiken. Wat browsers ten minste moeten doen is controleren van het CAA record, en controleren van het TLSA record via DNSSEC en dat ook moeten melden aan gebruikers. Nu doet geen enkele browser dat voor zover ik weet.
19-12-2018, 20:42 door Anoniem
Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven
Nope, dat is geen HPKP maar beschrijft een andere techniek waarmee eigenaren van websites via een CAA record in DNS aangeven welke CA's certificaten voor hun domein mogen uitgeven.

HPKP is wat anders en werkt met een header in de header die moet matchen met een deel van het certificaat waarbij de browser de 1e keer dat je een site bezoekt, die code bewaart. Lees hier https://scotthelme.co.uk/hpkp-http-public-key-pinning/ voor een uitleg voor normale techneuten.
20-12-2018, 10:48 door Anoniem
Stelling:
Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning.
Reactie:
Wat browsers ten minste moeten doen is controleren van het CAA record, en controleren van het TLSA record via DNSSEC en dat ook moeten melden aan gebruikers.
...CAA wordt echter maar weinig gebruikt van gemaakt.
...TLSA wordt echter maar weinig gebruikt van gemaakt.
...DNSSEC wordt echter maar amper gebruikt van gemaakt.

FTP daarintegen....
Wat is het probleem van een onbeveiligd protocol?
Ik zie niet zo het probleem dat hetweer.nl/ftp/data.csv geen SSL or TLS laag heeft.

Is er uberhaubt nu al 1 bank die DNSSEC gebruikt? abnamro.nl niet, ing.nl niet en rabobank.nl ook niet. Onze centrale bank, dnb.nl niet. Zwitserland en Zweden waren leiders in DNSSEC, maar ubs.ch niet, en handelsbanken.se -je raadt het al- ook niet.
Niemand heeft er blijkbaar werkelijk behoefte aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.