Eindelijk.
Hoeven we ook niet meer uit te leggen dat dat slotje niet betekent dat het veilig is.

Eigenlijk zou je geen domeinnamen meer willen tonen voor je veel gebruikte websites.
Op het moment dat jij op je favoriete website zit, zou je op een knopje moeten kunnen klikken waardoor het domein word vervangen door een zelf opgegeven website naam.

Dan veranderd in de adresbalk dit: Naar dit: Op die manier zie je meteen dat je op je bekende juiste site zit, en niet op een phishing website bijvoorbeeld.
Want een phishing website zal niet je eigen gegeven naam tonen.
Stuk veiliger voor de leek.


Verschil tussen goede site en phishing word dan dit:

Of is dat een idioot idee?
(Er van uitgaande dat URL's zelf niet verdwijnt. Als je op de adresbalk klikt, komt de originele URL weer naar boven.)

Ik denk niet dat ze het probleem dat mensen niet snappen hoe ze het moeten beoordelen hiermee gaan oplossen. Het probleem is namelijk dat die mensen iets fundamenteels niet snappen, namelijk dat het betrouwbaar maken van een verbinding naar een ander nog niet betekent dat die ander zelf daardoor betrouwbaar wordt.

In het verleden probeerden voorlichters van de software-industrie en daarbuiten dat op te lossen door het zo simpel te presenteren dat iedere halve zool het kan bevatten, maar hebben daarbij de blunder gemaakt om het simpeler te presenteren dan het werkelijk is, waardoor wat mensen gingen bevatten een onwaarheid is. "Slotje is veilig" is nooit waar geweest, en door dat te verkondigen hebben ze alleen maar bereikt dat de verwarring onnodig vergroot werd toen ze, ingehaald door de realiteit, weer van die boodschap afstapten.

Met een slotje als symbool dat aangeeft dat de verbinding versleuteld is is op zich niets mis. Men had in plaats van te verdoezelen wat er aan de hand is juist moeten benadrukken dat het om de verbinding gaat.

Dat verdoezelen is in mijn ogen sowieso een kwaal van de software-industrie die meer kwaad doet dan goed. Men is al tientallen jaren bezig om alles wat te moeilijk blijkt te zijn voor een deel van de gebruikers niet te verduidelijken maar onzichtbaar te maken. Een hedendaags voorbeeld daarvan is hoe smartphones volledig onzichtbaar maken voor hun gebruikers dat er een hiërarchisch filesysteem onder zit met directory's en bestanden. Een consequentie van dat onzichtbaar maken, afgaande op berichten die ik nu al enkele jaren met enige regelmaat langs zie komen, is dat universiteiten geconfronteerd worden met studenten die geen benul hebben van hoe ze data op de computers waarmee ze voor hun studie moeten werken georganiseerd kunnen opslaan. Ze hebben niet alleen geen benul van hoe je structuur in de opslag van bestanden kan aanbrengen, ze hebben geen benul van het begrip "bestand", voor hun "is" data gewoon, het is aanwezig in een app en met wat scrollen en swipen kom je er wel bij. Dat het ergens wordt opgeslagen en wat dat inhoudt is iets waar ze op een smartphone niet mee in aanraking zijn gekomen, en dat weten velen dus niet.

Mensen zijn best in staat om dat soort dingen te begrijpen. Dat een aangetekende brief van een boef nog steeds van een boef komt, al is hij betrouwbaar verstuurd, valt uit te leggen. Maar je kan in die uitleg niet overslaan dát er iets van de ene plek naar de andere gaat, of dat nou een brief is of netwerkverkeer. Mensen kunnen ook best hiërarchische, geneste opslagstructuren begrijpen. Elk huishouden heeft dat volop in de vorm van kasten met meerdere deuren, planken en/of en laden, waarin weer nadere onderverdelingen kunnen zitten met hulp van dingen als dozen en bestekbakken. Het probleem is niet dat mensen dat niet kunnen begrijpen, het probleem is dat het in veel te abstracte termen uitgelegd wordt, en als dat niet lukt is de stuip waarin men consequent schiet om het dan niet duidelijker en concreter te maken maar om het maar helemaal over te slaan en zoveel mogelijk onzichtbaar te maken.

Zo kweek je digibeten.

Zolang dat de benadering is zal het vervangen van het ene icoontje door het andere dweilen met de kraan open blijken te zijn, vrees ik.

Je kan het ook omdraaien. Als een domein met daarop een website geen encryptie heeft, betekent dat alleen maar dat de eigenaar van de site te lui was om een Let's Encrypt certificaat aan te vragen (dat had de website eigenaar makkelijk kunnen doen immers). Dus een rode waarschuwing van Chrome is hetzelfde als een website met een Let's Encrypt certificaat.

Dus de rode melding bij HTTP kan je ook wel weglaten want voegt niets toe.
Dus HTTP == HTTPS en een EV certificaat is een Let's Encrypt certificaat (qua gegarandeerde veiligheid voor de bezoeker).

Nee.
Want als https het niet doet, gaat de browser over op http. (zonder hsts dan)
En dan kan iedere hacker gewoon 443 blokkeren en al het verkeer sniffen.

Ja, de site eigenaar heeft misschien wel niet (goed) geconfigureerd, maar jij bent daar dan de dupe van.
Dat de hacker dan van allerlei leuke dingen doet met jouw account is toch echt niet grappig.

Dat mensen niet weten waarvoor zo'n slot icoon staat, komt ook door de slechte voorlichting op dit gebied. Volgens mij wordt al 20 jaar bij de mensen ingeprent dat het slotje betekend dat de site veilig is. Er werd nooit bij verteld dat je juist het certificaat zelf moet bekijken.

Is niet te doen.
Het kost me 4 klikken om het certificaat te zien. (Firefox)
Dat moet je dan voor elke website die je bezoekt doen?
En de gemiddelde gebruiker heeft hier 0% verstand van, laat staan enige kennis van certificate chains...

Er mist überhaupt enige scholing of support op IT gebied.
Ja, wel op school, maar daar gaan mijn ouders echt niet meer naar toe hoor.

Net zoals met drugs etc, er word wel wat "les" gegeven op school, maar echte educatie is er niet.
Ze moeten het concreet maken.
Laat zien hoe makkelijk het is om per ongeluk op http://securlty.nl te zitten, of hoe jouw kleine drugsaankoop zorgt voor die Rotterdamse explosies en liquidaties bijvoorbeeld.
Daar leren mensen van. En niet van die stoffige lessen op school waarbij iedereen slaapt.

Iew, klinkt als werk verschaffing, leuk voor die ene website waar je de moeite voor hebt genomen.

Daarbij gebruik ik de volledige url van een website/pagina om minder last te hebben functionele gebreken of misbaksels van een website(al het maar om een handvol page-loads/tijd te besparen omdat de knop navigatie bijv. ontoereikend is)
Navigeren doe ik dus regelmatige d.m.v wijzigen url, en daarbij wil ik de blote url kunnen zien alvorens ik overweeg actie te ondernemen)

Is het ook nog werkverschaffing als het direct als bookmark dient?
(Dus eigenlijk is het dan een bookmark van de hele website, niet een specifieke pagina.)

Dat jij een power-user bent die met URLs overweg kan, is een ander verhaal.
Als dit een toggle is, dan ben jij ook wel power-user genoeg om die instelling uit te togglen tijdens configuratie.
Desnoods maak je zo dat als je control indrukt de URL getoond word.
(Net zoals alt de standaard instellingen balk laat zien in Firefox)

Ik wil ook absoluut niet dat URL's afgeschaft worden ofzo.
Maar als een simple UX aanpassing ervoor zorgt dat 99% van de gebruikers geen last meer hebben van phishing aanvallen, lijkt mij dat ten minste iets om te overwegen.

Je zult het dus zelf moeten controleren.
Zeker als je voor de eerste keer ergens met je browser belandt.

Script-, ad-, tracking en blacklist-blokkeringen helpen wel.

Dom naar alles klikken wat beweegt zeker niet.

#webproxy

Wel eens gehoord van het knopje “Favorieten”?


Ja, volslagen idioot. Nog idioter dan het weglaten van het gebruikte protocol (http://, https://, ftp:// enz.)

Zie hier, een idioot in zijn natuurlijke habitat...
Hij kraakt vol vreugde een idee dat iemand geopperd heeft af zonder ook enige constructieve onderbouwingen te geven.
Hij moet ook wel, anders verliest hij zijn territorium aan de machtige logica mensen.
Laten we zien hoe hij zich probeert te verdedigen tegen deze machtige tegenaanval vanuit retoriek en logica.
:-)

Ik heb er wel les in gehad, lang geleden. Hoe het internet in elkaar zit en zo, maar ik kom niet veel verder als een openbare WiFi die deze aanval zou kunnen doen. Hoe iemand tussen mijn VDSL aansluiting en bijvoorbeeld de belastingdienst kan gaan zitten, en dan ook nog dingen kan wijzigen, dat zie ik niet.

Ik kom uit een tijd dat SSL er nog niet was. En dat werd toen nooit als een probleem gezien.

Ik bedoel, we zijn toch bezig met het versimpelen voor de gebruiker. Alles is in principe onveilig als je het op het internet doet. 4096 bit RSA en 256 bit SHA eroverheen verandert dat niet veel en introduceert kwetsbaarheden in de SSL code zelf.

De eigenaar van de website met state of the art let's encrypt certificaten, kan ook een crimineel zijn immers. "You can put lipstick on a pig, but it is still a pig".

Anoniem 11:54

Waarom is destijds eigenlijk de "groene adresbalk" waarin de naam van de organisatie direct zichtbaar was, afgeschaft?