Ik ben het er niet mee eens en heb het gevoel dat dit dezelfde fout is die Microsoft heeft gemaakt met het weglaten van file name extentions. Hoe zit het dan met andere url's zoals ftp en ldap en file etc

"We hebben de adresbalk vereenvoudigd door "https://" van veilige websites te verwijderen, en tegelijkertijd duidelijk te maken wanneer een site niet veilig is. Deze kleine aanpassing verbetert de duidelijkheid zonder bewustzijn op te offeren", zegt Mozillas Gayatri Pendse.""


Ow man wat een verbetering weer. Allemaal in het kader van: "als het anders kan, moet het anders". Laat mensen vooral niet wennen aan security. Zorg dat je elk jaar zaken zo verandert dat mensen geen grip krijgen op hun omgeving. Nu hebben we dan in plaats van https:// een mozilla melding. Dat zal zaken verbeter ja! Nou nou zeg! Wat een innovatie weer!

Oh oh, daar gaat 'ie weer, dus maar weer voor de zoveelste keer:

HTTPS IS GÉÉN GARANTIE VOOR EEN VEILIGE WEBSITE!

Ja! het moet blijkbaar in caps-lock keer op keer op keer herhaald worden, want de werkelijk hardnekkige stupiditeit dat een website veilig is als zijn url wordt voorafgegaan door https, is on-uit-roeibaar.

Https betekent niets meer dan dat de verbinding is gecodeerd (scrambled)

Dat zegt volgens mij Mozilla ook niet. Het is wel icm certificaat check toch?

Ik zie dit als een voordeel.
We hebben mensen aangeleerd om "https=veilig" te denken, zowel besust als onbewust.
Door dit weg te laten voorkom je dat mensen op phishing websites naar de "https" kijken en denken dat het "veilig" is.

Ik geloof niet dat dat misverstand hier nu het onderwerp was.

De indicator of een verbinding is versleuted (gecodeerd, scrambled, encrypted, etc, etc) wordt "vereenvoudigt"
(lees: weggelaten, onzichtbaar, foetsie, z.g.a. of zelfs onmogelijk om nog te achterhalen)

Zou in mijn optiek nog veel grotere CAPS verdienen.

Maargoed, als dit nu het topic wordt, dan wil ik de stelling graag omdraaien:
waarom is onversleuteld direct als 100% onveilig gelabeled?

Ik blijf dat grotendeels onzin vinden.
Temeer daar mixed-content ook helemaal OK is.

Ik ben het niet helemaal eens met wat je zegt, maar dat maakt niet zoveel uit.

Bij mij heeft het meer betrekking of de communicatie tussen mij en eindpunt afgeschermd is, omdat ik niet alle ISP’s evenveel vertrouw.

Ik gebruik zelf Firefox ESR en controleer vaak de CA’s.

Weet iemand hier of het mogelijk is dat (eventueel) weer aan te zetten dmv about.config ?

We moeten hard op weg naar de bewustwording dat er maar een absolute, onaantastbare zekerheid bestaat m.b.t. Internet en dat is: alles op het internet kan principieel kwaadaardig/onveilig zijn.

Dus je wil de techniek naar de domheid van de mens buigen? Dat is helaas een trend die ik al lang zie. Zou het niet simpler zijn dit in het basisonderwijs op te nemen? Omgaan met internet etc? #InternetRijbewijs

Je zet mensen toch ook niet vanaf een fiets op een 300PK race-motor? Dat heeft een rede! Dat gaat niet goed namelijk!

Of zeg ik nu weer domme dingen... /o\

Maar wat is nu de meerwaarde van het trimmen van de "https://" vooraan een url.
Wat schieten gebruikers daar mee op.
Levert dat nu zoveel extra ruimte op in de zoekbalk.

Welke briljante ontwikkelaar-gedachte zie ik over het hoofd?

Ikke-nie-snappe.

Hopenlijk kan het weer aangezet worden. En aders op zoek naar een fork.

Even kijken: Help ... Over Firefox. Ik gebruik versie 138.0.4 (64-bits), de Linux-versie op Debian, rechtstreeks uit de repository van Mozilla zelf, dus niet de versie die Debian verspreidt. En ik heb net een upgrade geprobeerd en er was geen nieuwere versie.

In de adresbalk zie ik gewoon https:// staan, zoals ik gewend ben.

Ligt het aan mijn instellingen? Het lijkt er niet op, ik zie het er zo snel niet tussen staan, en als ik Firefox onder firejail opstart, met de --private-optie, dan kan die niet bij mijn persoonlijke instellingen en toch blijft er hardnekkig https:// staan. Wat ik ook liever heb, trouwens, maar dan vraag ik me af wat maakt dat ik niet zie wat beschreven wordt.

Zijn er al mensen die wel https:// hebben zien verdwijnen? Welke versie van Firefox gebruiken jullie?

Of heefd Pendse zich misschien vergist en zit dit pas in de komende versie 139?

Met (basis) onderwijs bereik je maar zó veel.
Hoe moet mijne moeder nau weten wat oke is of niet? Ze is daar niet zo handig in, noch gaat ze nog naar school
En toch gebruikt zij het internet. Het minste dat ik voor haar kan doen is het makkelijker maken.
Dat kan door alle ingewikkelde dingen weg te halen, zoals de "https://" die nu in principe gewoon geforceerd word.

Natuurlijk moet dit ook in het basisonderwijs opgenomen worden. Dat ontken ik absoluut niet.
Maar enkel onderwijs alleen zal niet genoeg zijn om mensen veilig en capabel te houden, denk ik.

Wel hoop ik dat de meer technische details gewoon beschikbaar mogen blijven.
Hierbij doel ik op het tonen van de https:// in de URL balk na aan te klikken en zo.

Die schiet hier niks mee op want inplaats van dat ze nu niets snappen van https: ervoor krijgen ze te maken met enkel een slotje wat ook niks zegt zonder dat je echte controle van het certificaat verricht. Dit is schijnveiligheid het lost niks op.

En daar kan je moeder of wie dan ook ook niks aan doen dit is gewoon een beperking van de protocollen die we hebben.

Daarintegen wat je nu krijgt is dat de basis vaardige die wel getrained waren om te letten op https nu onnodig meldingen gaan maken dat dit ontbreekt. Dat hebben we namelijk ook gehad toen EV cert namen niet meer in de front van de url balk stonden.

Dus basis vaardigen hebben er niks aan
ITers hebben er niks aan
ITers krijgen wel mogelijk meer workload in vorm van eerste lijn aanvragen van particulieren, zakelijke klanten.

Kortom nutteloos.

Mixed content is niet ok. Door mitm kunnen er dus bv verkeerde plaatjes worden weergegeven.
Het is wel ok als ik de content kan verifieren met bv een checksum. Zoals het downloaden van een iso vanaf een ftp site,

Sommige mensen raken er van in de war. Net als finename.doc. Idioten gaan dan .doc weghalen waardoor Microsoft heeft besloten .doc default maar niet te laten zien in de filemanager, kunnne ze het ook niet makkelijk weghalen.

Mwah, als de browser standaard ingesteld staat op https-only is dan krijgt men sowieso wel aan waarschuwing als men een http-site probeert te betreden, het is een beetje een nothingburger.

En dan krijg je van die leuke grappen als: filename.doc.exe (waarbij .exe onderdrukt wordt door Microsoft, want dat is de extentie) En natuurlijk heeft het exe-bestand dan een document icoontje.

What could possibly go wrong.

Idem (straks) met het onderdrukken van die https;//
Ergens zal een slimmerik daar misbruik van weten te maken.

Daar word ik zoooo moe van telkens dat geneuzel van Mozilla met de Firefox browser.
Ik zou willen dat ze eens zouden stoppen met al die onzin veranderingen waarvan we dan weer in about:config moeten uitvogelen hoe we het weer ongedaan krijgen.

Wat in de mobiele versie niet mogelijk is daar word je al die kul gewoon door de keel geduwd.

Het had zo mooi kunnen zijn als ze niet zo dom waren bij Mozilla.
En dan maar klagen dat ze van alles moeten uithalen om aan geld te komen om te overleven als organisatie. Misschien eens minder uren verknoeien een kul !

Ja, dat is dus het paard achter de wagen spannen. De hele planeet in rubbertegels omdat er een paar rondlopen die het leven niet snappen. Daar komt het op neer.

Ik heb daar geen last van als iemand zijn document zonder .doc opslaat. Word ik daar slechter van? Nee, die gene die niet met computers om kan gaan krijgt vanzelf straf. En dan heeft oma ook pech! Makkelijk zat. Dan gaat oma maar met een papier naar de balie! Niet het hele internet ombouwen voor oma AUB! Waarom ziet niemand dat? Waarom verbouwen we de hele planeet voor oma? Waarom maken we het leven van oma tegelijk onmogelijk met als die digitaliseringsdrang?

Dit is de schuld van de "Ik wil elke dag een andere interface" generatie coders die niet snappen dat mensen geen verandering willen. Het weghalen van iets, zeker een https:// slaat als een tang op een varken! Het voegt werkelijk niets toe! Je zou haast gaan denken dat het is gedaan om verwarring te zaaien. En dat is dan ook het ENIGE dat goed werkt aan dit soort acties. Verder totaal niets.

Dat klopt, maar als het geen https is, dus alleen http (zonder s), dan weet je zeker dat er stront aan de knikker is.

Zo is dat, die instelling heb ik ook aangevinkt bij Instellingen > Privacy & Beveiliging > Alleen-HTTPS-modus in alle vensters inschakelen.

Oh ja? Dus ik kan niet in mijn lan iets hebben draaien op http zonder s? Wat een bullshit.
https zegt alleen iets over de verbinding, verder helemaal niks.

Jij lult uit je nek. Het gaat hier om het World Wide Web, en niet om jouw eigen veilige netwerkje (lan).

Voor de duidelijkheid;
https://howhttps.works/certificate-authorities/
https://nl.m.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Zowel https als http kunnen veilig en niet veilig zijn.
https heeft een versleutelde verbinding zodat er niemand mee kan kijken, behalve de website beheerder(s).
http is onversleuteld, dan zou men in principe mee kunnen kijken, maar over het algemeen is dat relatief zeldzaam tenzij het om een gerichte aanval gaat.
Zowel http als https hoeven niet malafide te zijn maar kunnen het allebei wel zijn, er is geen absolute zekerheid in beide gevallen, wel geeft de verificatie via een een CA (root certificaat) meer zekerheid, maar is geen uitsluitsel dat de site veilig is, (een onveilige site kan eveneens ondertekend zijn met een veilige CA) en een MITM-aanval (man in the middle) is over het algemeen minder waarschijnlijk met een https site vamwege haar versleuteling.
Dus het beste kan men surfen naar een https site, maar zorg wel dat dit geen vals gevoel van veiligheid geeft, let op bij elke site of het geen phishingsite is (wel of niet ondertekend met een geldige CA) of dat deze virussen bevat.
U kunt het beste belangrijke site zoals banksite URL's opslaan in een versleutelde offline password manager (bijv. keepass) zodat men via deze URL naar de banksite gaat, zo kan men niet per ongeluk op een phishing link klikken als met het Googled/DuckDuckgo'd, etc.

Ik gebruik Firefox 140.0a1 en de "https://" wordt gewoon getoond.
Wel heb ik in about:config "browser.urlbar.trimURLs" op false staan, maar dat heb ik al enkele jaren geleden ingesteld.
Er is trouwens ook een "browser.urlbar.trimHttps"

Ik zie niet waar hier 'stront aan de knikker' is:
http://www.aladdinlamps.info/MAXbrite_500.html (*)

Maar hier zou ik niets via de site bestellen maar hen mailen of zij een bestelling buiten de site om accepteren:
http://www.aladdin-us.com/product/R910-500%20%20100004908 (*)

Ik heb nog meer bladwijzers die alleen http zijn maar ik word daar niet kopschuw van.

(* Geen url-tags omdat ik niet weet hoe security.nl staat t.o.v. delen van alleen http sites.

Je hoeft er ook niet kopschuw van te worden. Gewoon lekker doen wat je zelf wilt. Maar ik vermijd sites die niet https zijn. Het zijn in mijn ogen altijd sites die er niet toe doen, of niet meer onderhouden worden, of met een aan zekerheid grenzende waarschijnlijkheid niet te vertrouwen zijn.

ik heb er ook geen problemen mee, want als men het 'https' wil zien drukt men 2 keer op de muis toets/knop en dan ziet men het staan. is wel iets. maar dat is het dan ook wel;

Jij lult uit je nek. Het gaat niet om het World Wide Web, het gaat om een browser.
En met die browser kan ik meer dan alleen maar naar het www. Die browser kan ook meer protocllen dan alleen maat http(s).

Wat nodig is voor een relatief veilig internet

versleuteling van de verbinding
- Zodat anderen niet op de sessie kunnen meekijken
- Dat herkenbaar is voor ongeschoolde gebruikers
- Hetgeen op dit moment impliceert dat https zichtbaar blijft

Vastgelegde identiteit van de website eigenaar
- Om de website eigenaar te kunnen opsporen als die frauduleus is
- Dat gelijk ook legitieme eigenaren van websites beschermt tegen spoofing of andere ongein
- Dat herkenbaar is voor de ongeschoolde eindgebruiker
- Dat moet leiden tot terugkeer van een gekleurde URL balk

Onder welk (wettelijk) regime de identiteit van de eigenaar bekend is
- Om de gebruiker te laten weten wat de betrouwbaarheid is van de identiteit
- Om aansprakelijkheid van de website eigenaar (en de CA) te duiden
- Om het toezicht onafhankelijk te kunnen laten zijn
- Dat herkenbaar is voor de 'ongeschoolde' gebruiker
- Hetgeen kan leiden tot
--- groene balk voor Extended Validation
--- blauwe balk voor wettelijk ingeregeld met icoon voor de wetgeving (bijv eIDAS teken)

Mozilla brengt verkleining van gebruikersveiligheid
Mozilla brengt verkleining van web eigenaar bescherming

Boeien... ze laten toch ook poortnummers 80 en 443 weg? Wat maakt dat nou uit?

Ik weet niet of dit wel wenselijk is.
Privacy/anonimiteit is nog steeds een heel erg belangrijke hoeksteen van de (online) samenleving.
En zo'n overmatige controle regime gaat gewoon misbruikt worden. Wil jij daar verantwoordelijk voor zijn?

Het tonen van een groene of blauwe balk is ook schijnveiligheid, want ook EV/eidas word foutief uitgegeven.
Wel kan je een blauwe balk geven voor "approved certificates" die de gebruiker heeft ingezien en goedgekeurd.

Persoonlijk zie ik DANE als toekomst, zodat we de hele certificatendrama achter ons kunnen laten.

Ook ik vind privacy/anonimiteit op internet heel belangrijk.
Die hebben echter wel een doel. Dat is bescherming van mensen.

Als een bedrijf (in welke vorm dan ook) zichzelf presenteert op het internet, dan wil dat bedrijf toch niet anoniem zijn? Die wil toch worden herkend en erkend. Die wil toch een (aantoonbaar) betrouwbare reputatie? Die wil toch niet dat de bedrijfsnaam met een heel kleine verandering (bijv hoofdletter i laten zien als kleine letter L) door een bewust bekwame slechterik wordt misbruikt?

Ik ben niet deskundig genoeg op DANE.
Toch ooit DANE onderzocht (lang geleden en weet het niet precies meer) en toen meende ik dat wel de eigenaar van de website enige bescherming ondervind, maar niet de bezoeker van de website. Die krijgt naar ik toen concludeerde onvoldoende duidelijkheid over wie achter een website zit.