Totale flauwekul. Waarom zou je een website met - bijvoorbeeld - alleen informatie per se over een beveiligde verbinding moeten kunnen bekijken? Want meer is het niet, dat slotje. Het zegt helemaal niets over de website zelf. Beweren dat een https-site "veilig" is, is waanzin.

Creeer je alleen maar een situatie, dat men het normaal gaat vinden om naar 'niet veilige sites' te kijken

Een van de redenen om ook die informatie versleuteld te versturen is het tegengaan van injectie met een MITM aanval. Wanneer bijvoorbeeld JavaScript zonder https wordt ingeladen kan deze eenvoudig worden aangepast en kan er kwaadaardige code worden geïnjecteerd. Natuurlijk is het zo dat de site zelf ook kwaadaardige code kan bevatten, maar het gebruik van https haalt in ieder geval een attack surface weg (helaas kan het slotje dan weer wel vals vertrouwen wekken).

Hè hè, waarom nu weer zo'n buitenproportionele krachtterm?
Is normale flauwekul je niet genoeg? Neen blijkbaar. Totale flauwekul moet het zijn.
Pfff....denk je anders (ervaringsgewijs) niet serieus te worden genomen?

Het is niet fout van Firefox om dit te doen.
Dat het niet helemaal klopt weten jij en ik en menigeen hier.
Maar Firefox bedient ook Jan en Katrijn Middelmens.. Dat weten jij en ik en menigeen hier ook.
Firefox doet gewoon wat een wegbeheerder ook doet: verkeersbord J08 plaatsen bij een onoverzichtelijke kruising, ook al is die kruising gesitueerd in niemandsland...het blijft een kruising die gevaarlijk kan zijn voor jij en ik en menigeen hier, maar ook voor Jan en Katrijn Middelmens.

Als je dat relativeringsvermogen niet hebt moet je de zwart/witbril eens afzetten en leren kleuren te kijken...

Omdat je dingen kunt injecteren. Doh!

Vergeet ook de drijvende kracht niet van Google Safe Browsing om ook op Mozilla Firefox,
net als chromium/Chrome, hier te arriveren. Zij waren de eersten, die het https everywhere project startten.

Inderdaad beseffen Jan en Katrijn Middeldmens niet, dat https nog niets hoeft te zeggen
omtrent de veiligheid van dewebsite achter de zogenaamde veilige verbinding.
Het zegt dus alleen iets over de verbinding a.k.a. connectie, samen met andere implicaties (header, preloading etc.)

Wel handig voor de cloudboer, die bepaalde zaken uit het oog wil houden
en natuurlijk goed voor Google's core business. die bestaat uit zoveel mogelijk
en soms ongemerkt zoveel mogelijk "data-jassen" tegen een hoogst profijtelijke opbrengst.

Er zitten dus zowel duidelijk veiligheidsaspecten als aspecten uit surveillance kapitalistisch standpunt aan https://.

#sockpuppet

1) Je conclusie klopt niet. Zie eerder genoemde MiTM risico, bijvoorbeeld.
2) Als je een vraag stelt, sta dan ook open voor antwoorden, i.p.v. een standpunt alvast als onzin te bestempelen.

Ik kan in het stukje nieuws nergens ontdekken dat Mozilla zegt dat HTTPS veilig is. Ze zeggen alleen dat HTTP niet veilig is en dat klopt wel getuige de reacties hierboven.

Vraagje. Waarom krijg ik in een zogeheten av privacy browser een waarschuwing als ik de https everywhere"" extensie wil installeren, dat deze extensie alles kan herschrijven en of ik me bewust ben van dit risico? Waarom die alert daar?

Bij andere adviezen krijg ik juist een aanbeveling om een dergelijke extensie te installeren, omdat een heleboel sites nog gemengde http/https content aanbieden en al mijn verkeer dan niet via een veilige connectie tunnel zou gaan.

Kan iemand mee iets uitlegggen, waarom zulke tegenstrijdige adviezen worden gegeven en waarom de waarschuwing voor het installeren van de extensie "https everywhere"?

J.O.

Goed om dan ondertussen dit te hebben gelezen:
Zie https://security.stackexchange.com/questions/2113/options-when-defending-against-sslstrip

info credits gaan naar noktech on stackexchange.

Ergo HTTPS Everywhere is niet geheel fool-proof.

luntrus

Waar de meeste gebruikers zich ook op allerlei websites niet bewust van zijn,
is dat het verkeer naar de webserver versleuteld kan zijn,
terwijl het verkeer naar de adserver (Google analytics bijvoorbeeld
of nog tal van andere onder beheer van Google vallende verbindingen gewoon over http gaan,
mixed content dus, het verkeer kan ook nog "gecloakt" anders zijn,
Google en Googlebot zien wat anders).

Kijk het maar na op webcookies.org waar in de tunnel je verbindingen beveiligd zijn en waar niet.

Wat heb je vervolgens aan een veilige verbinding met groen slotje als daar uitzonderingen onderdoorlopen?
Wat is het hele gedoe van https everywhere en http verbindingen zogenaamd uitfaseren voor websites,
als aan de andere kant naar Google en via de cloud een heleboel van je data toch volledig transparant
(voor bepaalde partijen dan) over de draad (liever gezegd niet door de beveiligde tunnel) gaat?

Je overheid heeft een eigen certificaat zodat de belastingdienst alles van je kan weten,
Kazakstan heeft dat nu ook voor al haar burgers zo geregeld.
Google en facebook trekken je helemaal leeg en krijgen af en toe een gelegenheidsboetetje,
want de instanties als NSA etc. zijn maar wat blij jouw gegevens bij Google te kunnen vinden/kopen.

Waarom wordt hier nooit een technische discussie over gevoerd met voorbeelden
hoe aanvallen via Firesheep en SSL strip kunnen worden gemitigeerd
info credits voor het bovenstaande gaan naar LanceBaynes van Security Stackexchange.

Laten de linux mannetjes zich daar eens druk over maken i.p.v de eeuwigeoppositie propriety versus vrije software,
of liever nog M$-linux en zelden Google android versus vrije android.

Het is niet - de "Ik heb toch niets te verbergen", "het is een achterhoedegevecht" discussie,
die ik mis. Het is de fundamentele discussie hoe bereik je redelijke technische bescherming voor iedereen
en hoe krijg je de brakke bescherming van de burger opgekrikt tegen een suprematie van Big Tech en overheden?
De doos van Pandora staat vol open, hoe krijgen we hem weer dicht? Waar is de purist, de echte onafhankelijke
researcher?

Zelfs op tor en tails redt je het nog steeds niet, zeker niet altijd.
Straks hebben alleen degenen "in the know" nog enige bescherming (de boven- en onderwereld criminelen),

Alle anderen houden zich het best aan deze volgende regel:
"Deel nooit iets met het internet als je niet bereid bent het schreeuwend met de hele wereld te delen
en daarvan de volle consequenties te ondergaan, ook als dat pas veel later jou in je k*nt komt bijten".

#sockpuppet