Dom. Door af te wijken van wat andere browsers doen creëer je onduidelijkheid. Leken uitleggen dat ze op het slotje moeten letten wordt zo weer wat lastiger.

Nu kan je zien of iets SSL is of niet, straks kan je zien of het niet SSL is en als het mechanisme niet werkt zie je niet dat een site niet SSL is.
Dit is een beetje hetzelfde als de signalering bij het spoor. De lamp is aan of de lamp knippert, is de lamp uit dan is deze kapot.

Je kan je verder afvragen of een informatie-site / pagina wel SSL zou moeten zijn, wat is de toegevoegde waarde? Ik heb het puur over een informatie site / pagina, worden er gegevens uitgewisseld dan is het natuurlijk een andere zaak.

Dit stond woensdag al hier, toen was het Firefox!

Authenticiteit, integriteit, privacy en het voorkomen dat derden informatie (zoals advertenties en/of malware) injecteren.

Voor mensen die kennis van hebben heeft het eigenlijk geen waarde.
Het slotje kan evengoed van een crimineel komen.

Vroeger diende je te betalen voor een certificaat nu kan je het gratis bij elke crimineel krijgen. Hierdoor ontstaat het grootste lek die niet zomaar te zien is.

Het enige doel van hen was dat de certificaten van google hoger zouden scoren , dus hun positie versterken.

Er zijn dus mensen met een website die dachten dat https alles beveiligde en validatie , injectiecontrole , firewall niet meer hoefde. Het is meer een vloek dan een zegen.(DIT MOET NOG WEL GECONTROLEERT WORDEN)

Als echter niemand hoeft in te loggen hoeft een site niet beveiligt te zijn.

Als een wachwoord word geincripteert met sleutelsysteem dan is er voldoende beveiliging . Als de gegevens publiek komen hoef je het echter niet te controleren dat iemand het aanpaste dat zie je als het geplaatst is.

DUS BESLUIT:
HTTPS geeft een vals gevoel van veiligheid.

Je kunt je ook afvragen waarom een simpele htmlpagina GEEN SSL zou gebruiken. Naast dat SSL het verkeer versleutelt, zorgt het er ook voor dat een eventuele afluisteraar niet kan zien op welke pagina's je precies zit, en kan het mogelijk MITM-aanvallen voorkomen. En het lijkt me onhandig om bij elke pagina die ik bezoek de afweging te maken of het een informatiepagina is, of dat het een pagina is waar ik ook informatie naartoe stuur. Ik denk dat gebruikers daar ook wel eens de mist mee in kunnen gaan.

Wanneer een site https gebruikt, maar zijn advertenties door een derde partij laat aanleveren, heb je nog niet zeker dat geen malware wordt geïnjecteerd. Daarvoor ben je van die andere partij afhankelijk en we weten dat het soms fout gaat.

In een https pagina kan ook een lek zitten als Heartbleed.
Als je alleen een statische http pagina hebt, hoef je minder vaak je web server te updaten en kan deze zelfs veiliger zijn.

Lees het artikel nog eens goed door. "Versleuteld" is de standaard en hoef je niet meer aan te geven. "Niet versleuteld" moet je wel aangeven.

Klopt. Maar in het geval van https is er sprake van individuele verbindingen met identificeerbare (op basis van domeinnaam en/of IP-adres) sites, die je desgewenst kunt blokkeren. Zo gebruik ik NoScript waarmee ik voorkom dat mijn browser Javascript vanaf third party sites downloadt en uitvoert.

Bij http kan een actieve MitM (deze hoeft niet fysiek toegang te hebben tot een verbinding, middels manipulatie van DNS en/of BGP kan het netwerkverkeer via de MitM worden gerouteerd) alle voorbijkomende informatie wijzigen of vervangen naar keuze, zonder dat het voor de gebruiker van de webbrowser traceerbaar is of en waar dat gebeurt, en wie dat doet.

(Een "leuke" in dit kader, zo vlak voor het weekend, is https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access met een CVSS Score: Base 9.8).

Is https de oplossing voor alle security- en privacy-problemen? Nee. Maar de voordelen van https t.o.v. http zijn wel heel groot, en daarom is het snel uitfaseren van http (en "mixed content") een heel goed idee. En niet alleen ik vind dat.

Klopt. Net zoals dat de kans op verdrinking groter is als je, in je auto, altijd een autogordel om hebt.

Daarom rijd ik ook motor ;-)
Anoniem 11:31

Touché... LOL ;^)

Daarom doe ik het maar zelf met uMatrix extensie in de browser.
Of NoScript in Firefox.
Alles wat niet perse nodig is (3rd party content o.a.) voor het functioneren in de browser direct blokkeren.

Bij een eerste bezoek aan een site alles via uMatrix blokkeren,
tot de site in kwestie is gechecked als veilig.

Het laatste is moeilijk, omdat je altijd achter de scanfeiten kunt lopen.
Google Safebrowsing, Bitdefender & DrWeb url scanners, MBAM,
WindowsDefender in de browser etc.

Je kunt dus steeds slachtoffer worden van PHISHers, spammers, scammers, smut-launchers,
bitcoin-miners en via tal van andere malcreanten. 0-day en dan BINGO, helaas.

luntrus

Denk je dat andere browsers statisch zijn, en niet aan verandering onderhevig zijn ? Denk je dat er over dit soort zaken geen contacten zijn tussen de partijen die browsers maken, en dat de rest in 2021 net zo zal zijn als nu ? Volg je de working groups van het World Wide Web consortium (www.w3.org), omtrent dit soort onderwerpen, waar ze hierover afspraken maken ?

Grappig hoe hier alles meteen als ''dom'' wordt bestempeld.

Op zich helemaal mee eens,. een groen slotje is niet interessant als het de meerderheid van de sites is.

Een ROOD slotje als het NIET https is, is echter wel zo logisch.
Dan heeft het meer impact.

Tip: Door éénmalig globaal (klik op *) op de regel 'alle' de velden donkerrood maken, behalve 'css' en 'afb.' (of wat je voorkeur heeft), dan op het slotje klikken.
Dan open je websites altijd veilig. Vanuit die positie ga je puzzelen welke functies nodig zijn om 'n site goed te laten werken (dat is persoonlijk). Ook dat kun je weer opslaan, zodat het daarna altijd direct werkt.

Kost je per site éénmalig een beetje tijd, maar geeft je welk maximale privacy/veiligheid. Het is misschien niet de meest makkelijk extensie (voor wat het kan/doet heeft de maker mijn inziens wel de meest logische structuur bedacht, erg knap) maar echt de moeite om het te leren. Hoop dan ook dat ze ooit nog TOR uitbrengen met uMatrix i.p.v. NoScript. Met eerstgenoemde kun je sites/complete domeinen volledig blokkeren, veel veiliger dan dat wordt het niet.

Beste anoniem van 16:37,

Bedankt voor je gewaardeerde reactie en precisering.
Helemaal met je eens. Ik vind het duo uBlock Origin en uMatrix een zeer goede vorm van primaire in-browser beveiliging.
(advertentie-blokker en meer universele blokker).

Voor het aanleren van het "toggelen", zoals jij dat aangeeft is geen "rakettechnologie" vereist.
Met een beetje geduld en inzicht kan iedere eindgebruiker dit aanleren.
Power-users zouden het so wie so onder de browser motorkap moeten hebben,
"Als je begrijpt wat ik bedoel, Tom Poes", zou Ollie B. Bommel zeggen.
(Oliver B. Bumble voor de jeugdigen onder ons).

Een goede indicator om te weten, wat je moet dichtzetten eventueel, is een website scan hier: https://webcookies.org/

All-in-one free web application security tool. Web application vulnerability and privacy scanner with support for HTTP cookies, Flash, HTML5 localStorage, sessionStorage, CANVAS, Supercookies, Evercookies. Includes a free SSL/TLS, HTML and HTTP vulnerability scanner and URL malware scanner.

Deze scan even uitvoeren als je een website om de een of andere reden niet zou vertrouwen
(ja, je voelt dat op de duur goed aan) en als je die voor de eerste keer bezoekt.

Risico analyse kun je hier maken: url] https://webscan.upguard.com/?__hstc=&__hssc=&hsCtaTracking=078797f7-1f7a-410c-a877-f6d5bfa33b85%7C1b39052a-40ec-4326-bb4d-78f8a372c6cf [/url] en ik doe altijd in bepaalde gevallen nog een IP scannetje op shodan.io voor eventuele kwetsbaarheden op de onderhavige webserver.
Ja, lieve vrinden, men laat qua best policies best veel steken vallen tegenwoordig.

Jammer dat men nu niet meer kan scannen hoeveel narigheid een AS via de racks lanceert .
Bepaalde scans worden echt heel erg onder vuur genomen door cybercriminele malcreanten,
zoals urlquery dot net (weer off-line) en in het verleden Clean-MX.
De WOT service, waar ik vroeger ook aan meedeed, is destijds door een tijdelijk eigenaar/durfkapitalist met data & all verpatst en heeft nooit meer de oorspronkelijke reputatie terug kunnen winnen.
Men vindt dus op Interwebs immer the good, the bad & in dit geval tevens de ugly.

Internetten kan leuk zijn, maar let wel goed op je "clicks".
Ik draai ook Retire.JS als extensie, om te zien wat er aan jQuery bibliotheken had moeten worden afgevoerd op een website. Meer iets voor developers, maar toch, je ziet dat JS veel ellende kan binnenbrengen.
Anders scan eens hier: https://retire.insecurity.today/ van Erlend Oftedal, een Noor,
die ook Retire.JS ontwikkeld heeft.

Nu ga ik nog even cookienator laten lopen, kijk naar mijn voodooshieldje en vervolgens
wens ik iedereen hier op security dot nl een superfijn weekend met heel veel zonneschijn.

Pas goed op jezelf, folks,en doe geen dingen, die ik ook niet zou doen.
May the Eternal G*d Bless you all, fijne week.

luntrus

P.S.
In tor uMatrix naast NoScript aanbieden zou wel eens een goede zet kunnen zijn van de mozilla tor developers.
(Wel dan het een of het ander, vanwege het eventuele aanvals- en profileringsoppervlak).

Why Google when you can use non-tracking sites like: DuckDuckGo, or Qwant, or searX, or Good Gopher?

J.O.

Why Google when you can use non-tracking sites like: DuckDuckGo, or Qwant, or searX, or Good Gopher?

J.O.

=> Omdat mensen schapen zijn die meegaan met de flow zolang het maar eenvoudig en easy is
=> Omdat het merendeel van de schaapjes geen hebben idee van de spionage capaciteiten van het Google network om maar te zwijgen over die andere spionage systemen zoals bijvoorbeeld windows 10 dat meer dan 500000 keer per dag pingt richting VS servers " They want to know it all"
=> Omdat de schaapjes denken dat ze toch niks te verbergen totdat ze er opeens achter komen dat dit wel zo is......

Hopelijk vat je het niet verkeerd op maar het schip is allang gestrand
Het gevecht is allang verloren
1984 on steroids Super Steroids weliswaar
Waar blijft de revolutie ?
Wanneer begint het gevecht
Slecht nieuws we already lost

@ anoniem van 20:39 gisteren,

Juist verwoord. Het vreemde is, dat de grootste hoeveelheid Rip van Winkles, de zogenaamde "wokes",
het diepst door MSM en Big Commerce samen met hun handlangers in slaap zijn gesust
en waarchijnlijk deze eeuw niet meer wakker zullen worden.

Als je vertelt, wat jij en ik vertellen, ben je inmiddels een "roepende in de woestijn"
en wordt je zeker als achtergebleven lastige stumperd beschouwd,
omdat je nog een aasje eigen verstand gebruiken wil.

Ik ben zelf een adept van de veel te vroeg gestorven linguist, resource hacker en later searchlores guru,
F.R.A.V.I.A., hij rustte in vrede. Toen al rond de eeuwwisseling,
fulmineerde deze al tegen al de ad- en smut-lancerende Google monocultuur.
Kijk waar we nu inmiddels beland zijn.

Ook kan je veel gewaar worden met enige vorm van technische achtergrondskennis via bijvoorbeeld
de resultaten van een UpGuard webscannetje op directe bedreigingen van een willekeurige website.

Zie in hoeverre "best policies"zijn ingevoerd. Zie de onveiligheid op webservers.
Zie de hoeveelheid niet afgevoerde kwetsbare en verlaten jQuery bibliotheken via Retire.JS.
Doe eens een weblintje en kijk naar de hoeveelheid website security verbeter-suggesties,
die eventueel mogelijk zijn.

Conclusie -het huilen staat je nader dan het lachen
en dit dus allemaal ten dienste van wat wij twee hier aangeven.

Juist, ja. Als eenmaal de stadsverwarming draait op restwarmte van het crematorium,
zoals de eco-redders van ons voorstaan, in wat voor wereld leven we dan, mijn beste?

"We already lost", zeg jij, the winners take it all, maar wat hebben zij er dan aan,
afgesneden van "vul maar in - al het hogere en eigen fantasie" en opgesloten in iets wat lijkt op een AI robot?
Wil je zo'n verlengd leven? Zijn dat je hoogste aspiraties?

Kijk voor de lol maar eventjes om je heen in de metro, als niemand meer opkijkt van zijn cellphone
en hun twee duimtoppen rusteloos over even zovele schermpjes bewegen.

Zie je het toekomstig zombie-leger al opdagen op zulke momenten?
Wat is ons voorland - Techno-hell of een soort Thunderdome Mad Max Maatschappij?

Ik vat dus niets verkeerds op, alleen persoonlijk heb ik de strijd nog niet opgegeven.
Kijk eens hier, dan begrijp je als IT-man waarom: https://webcookies.org/

J.O.

Van klagen krijg je voor je tijd een ouwe kop.
Conspiracy bespiegelingen heeft nog nooit iemand iets geholpen.
Ik ben 70+ en "spring nog op de stack" als een jonge white hacker-hond.

We zullen dus een veiligheidsslag moeten maken.

HTTP Strict Transport Security (HSTS) zal ingesteld moeten zijn tegen MiM aanvallen.
Excessieve server info proliferatie zal zoveel mogelijk moeten worden tegengegaan.
Anders wordt het opzoeken van kwetsbaarheden wel erg gemakkelijk. (Dazzlepod en shodan.io)
voor de script-kiddo's. Dus doe een upgrade en patch kwetsbare software.

Voer kwetsbare, verouderde en verlaten jQuery bibliotheken af.
Zorg dat we dit niet lezen:
X-Frame-Options header is missing
-2 X-XSS-Protection header is missing
-1 X-Content-Type-Options header is missing

Onnodige poorten open laten staan:
Mail ports open
App ports open
File sharing ports open
Administration ports open
Database ports open

DNSSEC niet ingesteld, derhalve kwetsbaar voor MiM aanvallen.

Natrekken van gevonden sinks en sources, zijn er DOM-XXS zwakheden die te misbruiken zijn?

Cloaking, andere code die Google en andere code , die Googlebot voorgeschoteld krijgen.

Iframe malware.

IDS alerts

Resource onveilig geladen plaintext HTTP.
Mixed content warning. This resource is loaded over plaintext HTTP on TLS page will be blocked by most modern browser. Lees verder....
A third-party resource. It may perform its own tracking on your requests and receive partial information about your activities on the original website
Resource with reputation warnings
Blacklisted domain
Suspicious pattern detected

En nog een heel waslijstje.

Het kan, die overhaul, maar dan moet er omgedacht worden.
Dan moet er anders worden opgeleid met security als first resort issue en niet als last ressort issue.
Dat vraagt een heleboel extra mankracht om developers te helpen
en om bij hosters en providers wat extra veiligheid af te dwingen,
ondanks dat ze het liefst zouden willen bezuinigen op zaken die niet direct geld opleveren.

Af van de slogan, liever een gelikte site dan een veilige site, gepropageerd door rupsje nooit genoeg CEOs en managers,
die nergens verstand van hoeven te hebben dan van exorbitante winst optimalisatie formules,
terwijl degenen met de relevante kennis de verbeterslag niet kunnen maken,
omdat ze er in het hele circus niet toe doen en in de City nog minder per uur krijgen,
dan in Berlijn, terwijl de raadgevers met pakken geld per uur huiswaarts keren.

Dat moet anders en dat kan anders. Laten we er mee beginnen.

luntrus