28 mei 2018

Hoe uw webbrowser u vertelt wanneer het veilig is.

by Dago in IT 0 comments

Omdat Google aan het veranderen is hoe de Chrome-browser onveilige websites markeert, kunnen rivaliserende browsers worden gedwongen om dit voorbeeld te volgen. Dit is hoe andere browsers op dit moment omgaan met de beveiliging van websites en welke veranderingen ze hebben.

Google heeft het schema beschreven dat het zal gebruiken om jarenlang advies van veiligheidsexperts om te keren tijdens het surfen op internet – om “op zoek te gaan naar het hangslot”. Vanaf 2018 zal de zoekgigant onveilige URL’s markeren in zijn marktoverheersende Chrome, niet degenen die al veilig zijn. Google’s doel? Aanzetten van alle website-eigenaren om digitale certificaten te gebruiken en het verkeer van al hun pagina’s te versleutelen.

De beslissing om HTTP-sites te taggen – die niet zijn vergrendeld met een certificaat en die server-to-browser en browser-naar-server-communicatie niet versleutelen – in plaats van de veiligere HTTPS-websites te labelen, kwamen niet uit het niets. Google spreekt hier al over sinds 2014.

En Google zal waarschijnlijk zegevieren: de browser-share van Chrome, nu al hoger dan 60%, garandeert dat bijna.

Beveiliging experts prijzen de Google-campagne en het waarschijnlijke eindspel. “Ik zal mijn moeder niet hoeven te vertellen om naar het hangslot te zoeken,” zei Chester Wisniewski, hoofdonderzoeker bij beveiligingsbedrijf Sophos, van de switcheroo. “Ze kan haar computer gewoon gebruiken.”

Maar wat doen de rivalen van Chrome? Treden ze in de voetstappen van Chrome of houden ze vast aan traditie? Computerworld onderzocht de Big Four – Chrome, Mozilla’s Firefox, Apple’s Safari en Microsoft’s Edge – om erachter te komen.

Safari

De browser van Apple maakt momenteel gebruik van het traditionele signage-model: het plaatst een klein hangslotsymbool in de adresbalk wanneer een pagina wordt beschermd door een digitaal certificaat en het verkeer tussen de Mac en de siteserver is gecodeerd.

Geen hangslot? Dat betekent dat de site verkeer niet versleutelt.

Recente versies van de browser nemen echter in bepaalde omstandigheden aanvullende stappen. Als de gebruiker zich op een onveilige site bevindt – een die niet is vergrendeld met een certificaat en codering – en probeert om taken uit te voeren zoals het invoeren van informatie in aanmeldingsvelden of voor het accepteren van creditcardnummers, geeft Safari een rode tekstwaarschuwing in de adres balk die start als “Niet beveiligd” en vervolgens wordt gewijzigd naar “Website niet beveiligd”. Die moeilijk te missen waarschuwingen begonnen met de versie van Safari gebundeld met macOS 10.13.4. (Mac-eigenaars met OS X 10.11 (El Capitan) of macOS 10.12 (Sierra) kregen dezelfde functionaliteit in de Safari 11.1 update op dezelfde dag.)

Apple

De waarschuwing “Website niet beveiligd” moet ook verschijnen als het certificaat verouderd of onwettig is.

Firefox

Mozilla’s browser is bijna 1 op 1 vergelijkbaar met Google’s Chrome; het zal uiteindelijk alle sites zonder encryptie taggen met een onderscheidende marker. Maar Firefox is er nog niet helemaal.

Mozilla

Op dit moment toont Firefox een hangslot met een rode doorhaallijn wanneer de gebruiker een HTTP-pagina bereikt die een gebruikersnaam- en wachtwoordlogincombinatie bevat. Wanneer de cursor in een van de velden wordt geplaatst – door er bijvoorbeeld in te klikken – komt er een tekstwaarschuwing tevoorschijn die luidt: Deze verbinding is niet beveiligd. Logins die hier worden ingevoerd, kunnen worden aangetast.

Anders blijft traditie de regel in Firefox: HTTPS-websites worden gemarkeerd door groene hangsloten in de adresbalk, terwijl normale HTTP-pagina’s niet zijn gemarkeerd.

Mozilla heeft echter toegezegd de iconografie om te keren. “Firefox zal uiteindelijk het doorgestoken vergrendelingspictogram weergeven voor alle pagina’s die geen gebruik maken van HTTPS, om duidelijk te maken dat ze niet beveiligd zijn”, schreef Tanvi Vyas en Peter Dolanjski, een beveiligingsingenieur en productmanager, respectievelijk , in een blogpost van meer dan een jaar geleden. “Naarmate onze plannen evolueren, blijven we updates plaatsen, maar we hopen dat alle ontwikkelaars door deze wijzigingen worden aangemoedigd de nodige stappen te nemen om gebruikers van internet via HTTPS te beschermen.”

Mozilla

De mark-all-HTTP-functie is verscholen in Firefox, maar is niet ingeschakeld in de huidige browser voor productiekwaliteit, Firefox 60. Gebruikers kunnen deze echter handmatig inschakelen.

  • Typ about:config in de adresbalk van Firefox
  • Zoeken naar security.insecure_connection_icon.enabled
  • Dubbelklik op dat item; de ‘false’ onder Value zal veranderen in ‘true’

U kunt de wijziging testen door een HTTP-pagina in de adresbalk in te voeren, zoals bbc.com.

Chrome

Chrome gebruikt nog steeds het gebruikelijke hangslot om HTTPS-sites te markeren en roept niet-gecodeerd verkeer (HTTP) op, toch wanneer je in een oogopslag naar de adresbalk kijkt. (Als u op het informatiepictogram in de adresbalk klikt, wordt het symbool van een kleine letter i in een cirkel links van de URL weergegeven, maar een vervolgkeuzelijst die wel de aandacht vestigt op bestaande onveilige verbindingen.)

Google

En sinds 2017 heeft Chrome sites getagd die wachtwoorden of creditcardinformatie verzenden via HTTP-verbindingen als ‘Niet beveiligd’ met tekst in de adresbalk.

Maar Google heeft dit jaar nog een aantal extra stappen gepland die Chrome dichter bij een doel zullen brengen waarbij tientallen jaren aan visuele signalen worden geslecht die verkeerversleuteling markeren.

De wijzigingen beginnen in juli met Chrome 68 – ingesteld om de week van 22-28 juli te verzenden – die alle HTTP-sites zal markeren met tekst die aangeeft dat de URL niet is beveiligd in de adresbalk.

Google

Gebruikers kunnen het gedrag van Chrome 68 inschakelen met deze stappen in de huidige Chrome 66:

  • Typ chrome://flags in de adresbalk.
  • Zoek het item Niet-beveiligde oorsprong markeren als niet-beveiligd.
  • Selecteer Inschakelen (markeren met een niet-beveiligde waarschuwing) en start Chrome opnieuw.
  • Selecteer optioneel ook Inschakelen (markeren als actief gevaarlijk) om ook het rode pictogram weer te geven.

Google

Vervolgens zal de browser met Chrome 69 – gepland voor uitgave in de week van sept. 2-8 – de groene beveiligde tekst uit de adresbalk voor HTTPS-pagina’s laten vallen en alleen het kleine hangslotsymbool tonen. Google kenmerkte dat als een stap verwijderd van het positief noteren van een beveiligde pagina en richting een meer neutraal label.

Google

In oktober verschijnt Chrome 70 (in de week van 14-20 oktober) waarop een HTTP-site met een klein rood driehoekje wordt gemarkeerd om een onbeveiligde verbinding aan te duiden, samen met de tekst ‘Niet veilig’ in de adresbalk. Die signalen worden weergegeven zodra de gebruiker interactie heeft met een willekeurig invoerveld.

Edge

Op dezelfde manier als Apple’s Safari, heeft de hoofdbrowser van Microsoft vastgehouden aan het HTTPS-gemerkte, HTTP-is-niet-model.

Edge geeft een hangslotpictogram weer in de adresbalk wanneer de pagina is beveiligd met een digitaal certificaat en het verkeer tussen de Windows 10-pc en de server is gecodeerd. Als er geen hangslot is, codeert de site het verkeer niet, maar vertrouwt die op HTTP. Om het volledige verhaal te krijgen, moeten gebruikers echter klikken op het pictogram – een i binnen een cirkel – en de tekst lezen in de volgende pop-up. “Wees voorzichtig hier,” waarschuwt Edge. “Uw verbinding met deze website is niet gecodeerd, waardoor het voor iemand gemakkelijker wordt om gevoelige informatie zoals wachtwoorden te stelen.”

Microsoft

In tegenstelling tot Safari, Firefox en Chrome biedt Edge geen speciale waarschuwingen wanneer de gebruiker een HTTP-site bezoekt met belangrijke invoervelden, zoals die voor wachtwoorden of creditcardnummers.

 

BRON: https://www.computerworld.com/


Geef een reactie