Firefox 70 gaat alle http-sites als niet veilig bestempelen
Mozilla is van plan om in Firefox 70 alle http-sites als niet veilig te bestempelen. De browserontwikkelaar volgt daarmee Google, die dit al enige tijd in Chrome doet. Firefox waarschuwt al sinds 2017 voor http-websites die zonder een beveiligde verbinding inlog- en creditcardgegevens verwerken.
De waarschuwing wordt nu uitgebreid naar alle http-sites. In de adresbalk van Firefox zal straks bij websites die via http worden aangeboden de melding "niet veilig" verschijnen. Dat meldt Firefox-ontwikkelaar Johan Hoffman in Mozillas Google-groep. Volgens Hoffman wordt inmiddels 80 procent van de webpagina's in Firefox over https geladen. Tevens wijst de Firefox-ontwikkelaar naar onderzoek waaruit zou blijken dat gebruikers het ontbreken van een "positieve indicator", zoals een slot-icoon of de vermelding van https, niet opmerken (pdf).
Daarom wil Mozilla net als Google in Chrome en Apple in Safari bij http-sites de melding "niet veilig" tonen. Google besloot deze maatregel vorig jaar juli in de eigen browser door te voeren. De maatregel staat voor Firefox 70 gepland, die op 22 oktober dit jaar moet uitkomen. Binnenkort komt Mozilla met meer informatie over de aanpassingen aan de security-gebruikersinterface in de browser en de redenen hiervoor.
Gebruikers die niet op de aanpassingen willen wachten kunnen nu al via de instellingen van Firefox alle http-sites als niet veilig bestempelen. Sinds 2017 wordt er via de optie "security.insecure_connection_icon.enabled" in about:config bij http-sites een icoon met een rode streep getoond.
Reacties (11)
17-07-2019, 15:23 door
Anoniem
Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
17-07-2019, 15:46 door
Anoniem
Creeer je alleen maar een situatie, dat men het normaal gaat vinden om naar 'niet veilige sites' te kijken
17-07-2019, 16:47 door
Anoniem
Door Anoniem: Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
Een van de redenen om ook die informatie versleuteld te versturen is het tegengaan van injectie met een MITM aanval. Wanneer bijvoorbeeld JavaScript zonder https wordt ingeladen kan deze eenvoudig worden aangepast en kan er kwaadaardige code worden geïnjecteerd. Natuurlijk is het zo dat de site zelf ook kwaadaardige code kan bevatten, maar het gebruik van https haalt in ieder geval een attack surface weg (helaas kan het slotje dan weer wel vals vertrouwen wekken).
17-07-2019, 19:50 door
[Account Verwijderd]
-
Bijgewerkt: 17-07-2019, 19:52
Door Anoniem: Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
Hè hè, waarom nu weer zo'n buitenproportionele krachtterm?
Is normale flauwekul je niet genoeg? Neen blijkbaar. Totale flauwekul moet het zijn.
Pfff....denk je anders (ervaringsgewijs) niet serieus te worden genomen?
Het is niet fout van Firefox om dit te doen.
Dat het niet helemaal klopt weten jij en ik en menigeen hier.
Maar Firefox bedient ook Jan en Katrijn Middelmens.. Dat weten jij en ik en menigeen hier ook.
Firefox doet gewoon wat een wegbeheerder ook doet: verkeersbord J08 plaatsen bij een onoverzichtelijke kruising, ook al is die kruising gesitueerd in niemandsland...het blijft een kruising die gevaarlijk kan zijn voor jij en ik en menigeen hier, maar ook voor Jan en Katrijn Middelmens.
Als je dat relativeringsvermogen niet hebt moet je de zwart/witbril eens afzetten en leren kleuren te kijken...
17-07-2019, 22:35 door
Anoniem
Door Anoniem: Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
Omdat je dingen kunt injecteren. Doh!
18-07-2019, 00:05 door
Anoniem
Vergeet ook de drijvende kracht niet van Google Safe Browsing om ook op Mozilla Firefox,
net als chromium/Chrome, hier te arriveren. Zij waren de eersten, die het https everywhere project startten.
Inderdaad beseffen Jan en Katrijn Middeldmens niet, dat https nog niets hoeft te zeggen
omtrent de veiligheid van dewebsite achter de zogenaamde veilige verbinding.
Het zegt dus alleen iets over de verbinding a.k.a. connectie, samen met andere implicaties (header, preloading etc.)
Wel handig voor de cloudboer, die bepaalde zaken uit het oog wil houden
en natuurlijk goed voor Google's core business. die bestaat uit zoveel mogelijk
en soms ongemerkt zoveel mogelijk "data-jassen" tegen een hoogst profijtelijke opbrengst.
Er zitten dus zowel duidelijk veiligheidsaspecten als aspecten uit surveillance kapitalistisch standpunt aan https://.
#sockpuppet
net als chromium/Chrome, hier te arriveren. Zij waren de eersten, die het https everywhere project startten.
Inderdaad beseffen Jan en Katrijn Middeldmens niet, dat https nog niets hoeft te zeggen
omtrent de veiligheid van dewebsite achter de zogenaamde veilige verbinding.
Het zegt dus alleen iets over de verbinding a.k.a. connectie, samen met andere implicaties (header, preloading etc.)
Wel handig voor de cloudboer, die bepaalde zaken uit het oog wil houden
en natuurlijk goed voor Google's core business. die bestaat uit zoveel mogelijk
en soms ongemerkt zoveel mogelijk "data-jassen" tegen een hoogst profijtelijke opbrengst.
Er zitten dus zowel duidelijk veiligheidsaspecten als aspecten uit surveillance kapitalistisch standpunt aan https://.
#sockpuppet
18-07-2019, 08:34 door
Anoniem
Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
1) Je conclusie klopt niet. Zie eerder genoemde MiTM risico, bijvoorbeeld.
2) Als je een vraag stelt, sta dan ook open voor antwoorden, i.p.v. een standpunt alvast als onzin te bestempelen.
19-07-2019, 10:29 door
Anoniem
Door Anoniem: Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.
Ik kan in het stukje nieuws nergens ontdekken dat Mozilla zegt dat HTTPS veilig is. Ze zeggen alleen dat HTTP niet veilig is en dat klopt wel getuige de reacties hierboven.
19-07-2019, 23:21 door
Anoniem
Vraagje. Waarom krijg ik in een zogeheten av privacy browser een waarschuwing als ik de https everywhere"" extensie wil installeren, dat deze extensie alles kan herschrijven en of ik me bewust ben van dit risico? Waarom die alert daar?
Bij andere adviezen krijg ik juist een aanbeveling om een dergelijke extensie te installeren, omdat een heleboel sites nog gemengde http/https content aanbieden en al mijn verkeer dan niet via een veilige connectie tunnel zou gaan.
Kan iemand mee iets uitlegggen, waarom zulke tegenstrijdige adviezen worden gegeven en waarom de waarschuwing voor het installeren van de extensie "https everywhere"?
J.O.
Bij andere adviezen krijg ik juist een aanbeveling om een dergelijke extensie te installeren, omdat een heleboel sites nog gemengde http/https content aanbieden en al mijn verkeer dan niet via een veilige connectie tunnel zou gaan.
Kan iemand mee iets uitlegggen, waarom zulke tegenstrijdige adviezen worden gegeven en waarom de waarschuwing voor het installeren van de extensie "https everywhere"?
J.O.
19-07-2019, 23:29 door
Anoniem
Goed om dan ondertussen dit te hebben gelezen:
As I replied before, you should understand that you can still use SSLstrip against HTTPS Everywhere. By searching a bit, I also came across this link and this test (related to the previous link), it seems that HTTPS Everywhere does not protect you against spoofing attacks. Related to this topic, I could also find this one which contains a lot of good information, and this one on how to protect from sslstrip attacks. Zie https://security.stackexchange.com/questions/2113/options-when-defending-against-sslstrip
info credits gaan naar noktech on stackexchange.
Ergo HTTPS Everywhere is niet geheel fool-proof.
luntrus
As I replied before, you should understand that you can still use SSLstrip against HTTPS Everywhere. By searching a bit, I also came across this link and this test (related to the previous link), it seems that HTTPS Everywhere does not protect you against spoofing attacks. Related to this topic, I could also find this one which contains a lot of good information, and this one on how to protect from sslstrip attacks.
info credits gaan naar noktech on stackexchange.
Ergo HTTPS Everywhere is niet geheel fool-proof.
luntrus
20-07-2019, 10:00 door
Anoniem
Waar de meeste gebruikers zich ook op allerlei websites niet bewust van zijn,
is dat het verkeer naar de webserver versleuteld kan zijn,
terwijl het verkeer naar de adserver (Google analytics bijvoorbeeld
of nog tal van andere onder beheer van Google vallende verbindingen gewoon over http gaan,
mixed content dus, het verkeer kan ook nog "gecloakt" anders zijn,
Google en Googlebot zien wat anders).
Kijk het maar na op webcookies.org waar in de tunnel je verbindingen beveiligd zijn en waar niet.
Wat heb je vervolgens aan een veilige verbinding met groen slotje als daar uitzonderingen onderdoorlopen?
Wat is het hele gedoe van https everywhere en http verbindingen zogenaamd uitfaseren voor websites,
als aan de andere kant naar Google en via de cloud een heleboel van je data toch volledig transparant
(voor bepaalde partijen dan) over de draad (liever gezegd niet door de beveiligde tunnel) gaat?
Je overheid heeft een eigen certificaat zodat de belastingdienst alles van je kan weten,
Kazakstan heeft dat nu ook voor al haar burgers zo geregeld.
Google en facebook trekken je helemaal leeg en krijgen af en toe een gelegenheidsboetetje,
want de instanties als NSA etc. zijn maar wat blij jouw gegevens bij Google te kunnen vinden/kopen.
Waarom wordt hier nooit een technische discussie over gevoerd met voorbeelden
hoe aanvallen via Firesheep en SSL strip kunnen worden gemitigeerd
Using Privoxy rule:
echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action info credits voor het bovenstaande gaan naar LanceBaynes van Security Stackexchange.
Laten de linux mannetjes zich daar eens druk over maken i.p.v de eeuwigeoppositie propriety versus vrije software,
of liever nog M$-linux en zelden Google android versus vrije android.
Het is niet - de "Ik heb toch niets te verbergen", "het is een achterhoedegevecht" discussie,
die ik mis. Het is de fundamentele discussie hoe bereik je redelijke technische bescherming voor iedereen
en hoe krijg je de brakke bescherming van de burger opgekrikt tegen een suprematie van Big Tech en overheden?
De doos van Pandora staat vol open, hoe krijgen we hem weer dicht? Waar is de purist, de echte onafhankelijke
researcher?
Zelfs op tor en tails redt je het nog steeds niet, zeker niet altijd.
Straks hebben alleen degenen "in the know" nog enige bescherming (de boven- en onderwereld criminelen),
Alle anderen houden zich het best aan deze volgende regel:
"Deel nooit iets met het internet als je niet bereid bent het schreeuwend met de hele wereld te delen
en daarvan de volle consequenties te ondergaan, ook als dat pas veel later jou in je k*nt komt bijten".
#sockpuppet
is dat het verkeer naar de webserver versleuteld kan zijn,
terwijl het verkeer naar de adserver (Google analytics bijvoorbeeld
of nog tal van andere onder beheer van Google vallende verbindingen gewoon over http gaan,
mixed content dus, het verkeer kan ook nog "gecloakt" anders zijn,
Google en Googlebot zien wat anders).
Kijk het maar na op webcookies.org waar in de tunnel je verbindingen beveiligd zijn en waar niet.
Wat heb je vervolgens aan een veilige verbinding met groen slotje als daar uitzonderingen onderdoorlopen?
Wat is het hele gedoe van https everywhere en http verbindingen zogenaamd uitfaseren voor websites,
als aan de andere kant naar Google en via de cloud een heleboel van je data toch volledig transparant
(voor bepaalde partijen dan) over de draad (liever gezegd niet door de beveiligde tunnel) gaat?
Je overheid heeft een eigen certificaat zodat de belastingdienst alles van je kan weten,
Kazakstan heeft dat nu ook voor al haar burgers zo geregeld.
Google en facebook trekken je helemaal leeg en krijgen af en toe een gelegenheidsboetetje,
want de instanties als NSA etc. zijn maar wat blij jouw gegevens bij Google te kunnen vinden/kopen.
Waarom wordt hier nooit een technische discussie over gevoerd met voorbeelden
hoe aanvallen via Firesheep en SSL strip kunnen worden gemitigeerd
Using Privoxy rule:
echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action
Laten de linux mannetjes zich daar eens druk over maken i.p.v de eeuwigeoppositie propriety versus vrije software,
of liever nog M$-linux en zelden Google android versus vrije android.
Het is niet - de "Ik heb toch niets te verbergen", "het is een achterhoedegevecht" discussie,
die ik mis. Het is de fundamentele discussie hoe bereik je redelijke technische bescherming voor iedereen
en hoe krijg je de brakke bescherming van de burger opgekrikt tegen een suprematie van Big Tech en overheden?
De doos van Pandora staat vol open, hoe krijgen we hem weer dicht? Waar is de purist, de echte onafhankelijke
researcher?
Zelfs op tor en tails redt je het nog steeds niet, zeker niet altijd.
Straks hebben alleen degenen "in the know" nog enige bescherming (de boven- en onderwereld criminelen),
Alle anderen houden zich het best aan deze volgende regel:
"Deel nooit iets met het internet als je niet bereid bent het schreeuwend met de hele wereld te delen
en daarvan de volle consequenties te ondergaan, ook als dat pas veel later jou in je k*nt komt bijten".
#sockpuppet
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT-expert
Militaire Inlichtingen- en Veiligheidsdienst
Veiligheid en informatievoorziening staan voor de Militaire Inlichtingen- en Veiligheidsdienst nooit stil, net als jij. Als IT-expert ga jij voor continue verbetering. Met jouw kennis til je de IV- en ICT-voorzieningen van de veiligheidsdienst in Den Haag naar een hoger niveau. Ook neem je de rol van product-owner, scrum-master of lead-engineer op je.