Mozilla vil mærke ikke-krypterede hjemmesider som usikre

Virksomheden bag Firefox vil påvirke web-udviklere i retning af HTTPS.

Mozilla vil have krypteret mere internettrafik, og arbejder tilsyneladende i retning af at mærke ikke-krypterede websteder som værende usikre.

Det skriver Techdirt.

Planen skal blandt andet omfatte, at nye funktioner fra Mozilla kun skal kunne benyttes på krypterede websteder, og det skal ifølge Richard Barnes, der er sikkerhedsingeniør hos Mozilla, sende et signal om, at et krypteret internet er fremtiden.

»For at opfordre web-udviklere til at bevæge sig fra HTTP til HTTPS vil jeg gerne foreslå en misbilligelsesplan for usikker HTTP. Over en bred kam vil det indebære at begrænse nye funktionaliteter til sikre sammenhænge, og derefter fjerne de eksisterende funktioner fra usikre sammenhænge. Det vil sende et signal om, at klartekstens tid er forbi. Det vil fortælle verden, at det nye internet bruger HTTPS, så hvis du vil bruge nye ting, må du levere sikkerhed,«skriver han.

Læs også: Netflix vil skifte til HTTPS

Onsdag kom det frem at Netflix vil begynde at kryptere brugernes forbindelse til tjenestens servere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Jensen

Mange tror desværre stadigvæk fejlagtigt at HTTPS kun er relevant ved udveksling af login, betalingstransaktioner m.v. Det er en naiv og uigennemtænkt forestilling.

Alle webservere bør bruge HTTPS som default.

Alene det at overvågerne på internettet, og netværket i øvrigt, kan se hvilke websites, hvilke specifikke sider, artikler m.v. man læser/ser på, kan udgøre et fatalt problem for nogen - måske ikke lige for DIG personligt, men det kan det have for ANDRE mennesker. Eksemplerne er utømmelige.

Som sidegevinst forebytter HTTPS også at ISPere, netudbydere m.v. kan shape, filtere og injecte alt muligt i ens internetforbindelse. Vi har set flere og flere ISPere i udlandet som er begyndt at pumpe egne reklamer osv ind i HTTP-sessionerne.

  • 6
  • 1
#2 Christian Nobel

Alle webservere bør bruge HTTPS som default.

Det er jo at overreagere.

Der er masser af webservere som ikke leverer andet end hvad man kan kalde flad information, svarende til en reklamestander i det offentlige rum.

Der er ingen grund til at en sådan nødvendigvis skal køre https.

Og der er masser af småsites der udelukkende er informationssites, hvor det også vil være bøvlet at bruge https - ikke fordi https i sig selv er problematisk, men fordi det kræver et certifikat (som man så ikke engang altid kan stole på).

  • 4
  • 3
#4 Nikolaj Bech

Jeg umiddelbart også for at meget mere trafik krypteres. Men jeg er ikke sikker på at jeg er vild med at få markeret web siden for den klub jeg selv er medlem af som usikker. Det er ikke det bedste indtryk at give potentielt nye medlemmer.

Jeg skal indrømme at jeg ikke har undersøgt markedet grundigt, men det er mit indtryk at et hotel der kan tilbyde at man benytter HTTPS er markant dyrere end de små simple PHP hoteller vi har brug for. Nogen der kender en god udbyder?

Og et initiativ med at markere ting som usikre der rammer en masse sider folk allerede stoler på vil formentlig gøre dem blinde for advarslen.

  • 5
  • 0
#5 Bjørn Connolly

Med TLS SNI og DNSSEC DANE er det da bestemt blevet lettere at etablere HTTPS sites. Men det er nu påfaldende når de "store" browser leverandører agiterer for HTTPS. Samtidigt med at de tager penge for CA integrationen i deres browsere og snøler med DNSSEC DANE implementeringen.

  • 1
  • 0
#6 Peter O. Gram

Jeg er ikke voldsomt begejstret. Fint nok at styrke sikkerheden, men at involvere slutbrugeren, der ikke forstår hvad det handler om, gør dem kun mere usikre/utrygge, når de er ude på Nettet. De er næppe i stand til at foretage en rationel risikovurdering. Så synes jeg bedre om Googles varslede initiativ med at give HTTPS bedre ratings. Noget andet er så, at det vil føre til et stormløb på de i forvejen plagede IPv4 ranges. HTTPS skal jo have sin egen IP-adresse. Mon alle webhoteller har dedikerede IP-adresser nok til alle deres kunder? Noget tredje er, at en del hjemmesider må skulle programmeres om, da der er nogen ting, som kan lade sig gøre under HTTP men ikke under HTTPS. (Det er længe siden, men jeg har stående i mine noter, at det handler om cache control)

  • 0
  • 1
#9 Bent Jensen

Og der er masser af småsites der udelukkende er informationssites, hvor det også vil være bøvlet at bruge https

Fordi noget er bøvlet, så skal man ikke gøre det ?

Der er også bøvlet at se sig for, når når køre ud på vejen, men en hel del mere sikkert at gøre det.

At du ikke gider, må du jo tage med dine kunder og på egne hjemmesider. De forsvinder jo også ned i google søgeresultat, så tilgang til dem bliver nok også kun for dem som kender og bruger dem i forvejen.

  • 1
  • 2
#10 Christian Nobel

Fordi noget er bøvlet, så skal man ikke gøre det ?

Lad være med at skyde folk noget i skoene - tak.

Jeg forholder mig bare til at der er mange mindre websites, der ikke umiddelbart er gearet til at håndtere certifikater, og det er ikke noget som ændrer sig over night.

Og at de fleste certifikatudbydere er amerikanske, hvilket jeg i nogen henseender anser for at lade ræven vogte høns.

Men jeg tror også på at på sigt er det vejen frem, men udsigten er lang, ligesom den er for IPV6.

Når Let's Encrypt rigtig kommer på banen, så tror jeg til gengæld at det kan hjælpe rigtig meget:

https://letsencrypt.org/

  • 2
  • 2
#11 Peter Jensen

Jeg forholder mig bare til at der er mange mindre websites, der ikke umiddelbart er gearet til at håndtere certifikater, og det er ikke noget som ændrer sig over night.

Og at de fleste certifikatudbydere er amerikanske, hvilket jeg i nogen henseender anser for at lade ræven vogte høns.

Et website er håndteret af en webserver. Hvilke mainstream webservere er det der ikke kan håndtere certifikater?

Øehhh... Hvad i alverden har antallet af amerikanske certifikatudbydere dog med sagen at gøre?

  • 1
  • 3
#12 Peter O. Gram

@Peter Jensen Det er som man læser artiklen, du refererer til. Jeg bliver bekræftet i mine to påstande. Men tak alligevel for artiklen. Det rører dog ikke ved min væsentligste indvending, nemlig at slutbrugeren, læseren af hjemmesider, ikke skal til at belastes med advarsler om, at hjemmesiden er serveret via HTTP fremfor HTTPS. Det er slemt nok, at man skal kvittere for cookies. PS: Er der nogen, der har oplevet, at man kan svare "Nej tak til cookies, men fortsæt endelig med at vise indholdet"?

  • 1
  • 0
#13 Christian Nobel

Et website er håndteret af en webserver. Hvilke mainstream webservere er det der ikke kan håndtere certifikater?

Serveren kan godt, men der kan stadig godt være en række udfordringer forbundet med det, hvilket vi jo også har set når selv store "professionelle" sider har snøvset i det, eksempelvis ved at glemme at forny certifikat.

Men lad mig citere fra Let's Encrypt:

For many server operators, getting even a basic server certificate is just too much of a hassle. The application process can be confusing. It usually costs money. It’s tricky to install correctly. It’s a pain to update.

Det er tilladt at forholde sig til den virkelige verden, det er jo ikke kun for sjov Let's Encrypt siger som citeret.

Øehhh... Hvad i alverden har antallet af amerikanske certifikatudbydere dog med sagen at gøre?

Det drejer sig ikke om antallet men om hvem.

  • 2
  • 1
#14 Peter Jensen

Serveren kan godt, men der kan stadig godt være en række udfordringer forbundet med det, hvilket vi jo også har set når selv store "professionelle" sider har snøvset i det, eksempelvis ved at glemme at forny certifikat.

Vrøvl. Det er ikke spor anderledes end så meget andet man skal have styr på når man driver en webserver.

Det drejer sig ikke om antallet men om hvem.

Øhhh... Vi kan vel blive enige om at du skrev:

Og at de fleste certifikatudbydere er amerikanske, hvilket jeg i nogen henseender anser for at lade ræven vogte høns.

Vil du forklare din påstand? Hvordan er det lige at "lade ræven vogte høns" hvis "de fleste certifikatudbydere er amerikanske"?

  • 0
  • 4
#16 Kenneth Schack Banner

I firefox er der: https://addons.mozilla.org/da/firefox/addon/selectivecookiedelete/

Blot lav en whiteliste og så ryger cookies som ikke er whitelisted når du lukker firefox..

Kombineret med: Adblock Edge Ghostery HTTPnowhere NoScript

Så er man meget godt kørende når det kommer til at have et privatliv..

At få HTTPS er nemt, men kan koste lidt og nok løber vi tør for IPv4, men er det ikke os snart på tide at bruge IPv6? Bruger selv HTTPS på mine sider.. skønt de næppe er meget aktive.. og de hopper automatisk over på HTTPS.. Servage.dk kan anbefales hvis man vil have flere domæner..

  • 1
  • 0
#17 Christian Nobel

Vrøvl. Det er ikke spor anderledes end så meget andet man skal have styr på når man driver en webserver.

Så kan man undres over at du overhovedet vil nedværdige dig til at kommentere på nærværende site, da Version2 jo åbenbart ikke er i stand til at sætte fluebenet som med et trylleslag holder styr på certifikater mv.

Vil du forklare din påstand? Hvordan er det lige at "lade ræven vogte høns" hvis "de fleste certifikatudbydere er amerikanske"?

For at citere Brian : suk...

Herudover så undrer det mig lidt at Mozilla vil til at begynde at rydde op i andres baghave, i stedet for at sørge for at rydde op i egen forhave - eksempelvis halter HTML5 understøttelsen fælt, og hvis den almindelige bruger så også oplever at Firefox brokker sig over at hver anden side ikke er https, så tror jeg at det eneste der kommer ud af det er at endnu flere forlader FF til fordel for andre browsere.

  • 2
  • 1
#18 Rune Jensen

eksempelvis halter HTML5 understøttelsen fælt

...og det er en pine at se YT videoer. De skal først loades flere sekunder før der sker nogetsomhelst. Og lyden forsvinder de første 3-4 sekunder af videoen. Og så kan man ikke se højere end 720 HD 60FPS.

Men er der noget, som de burde kigge på først, så er det direkte implementering af NoScript i selve Firefox koden. Sikkerhed skal ikke være et overlay. Det skal ligge i kernen.

  • 0
  • 0
#20 Peter Jensen

For at citere Brian : suk...

Er det virkelig alt hvad du har af begrundelse for din absurde påstand? Et intetsigende fjollet udråb? Seriøst?

Du forstår vist ikke hvordan trust-modellen er opbygget i det globale certifikat-system.

Det er komplet irrelevant for sikkerheden om man køber et certifikat hos en amerikansk udbyder end en kinesisk, engelsk, tysk, dansk, svensk eller whatever man vil.

Der er omkring 400 certifikatudstedere i verden og din browser stoler blindt på alle de CA'ere der ligger i roden.

En hvilken som helst af de 400 udstedere kan udstede et certifikat til dit website. Det har intet som helst at gøre med hvor du køber dit certifikat. De kan alle lave lige så mange certifikater de vil som browserne vil stole 100% på.

Altså køber du certifikat til x.dk hos udsteder A, så kan udsteder B også lave et certifikat til x.dk og bruge dette til et MITM-attack - og din browser vil være glad og tilfreds og melde alt i orden for din HTTPS-session.

Vi har set systemet misbrugt på denne måde flere gange - senest med en sag med en kinesisk intermediate i Egypten.

Det eneste der kan sikre brugeren at det er den korrekte server han/hun har fat i er med certificate pinning/verificeret fingeraftryk. Det ved Google og i Chrome har pinned alle deres egne certifikater - og det var på den måde at man opdagede MITM-angrebet i Egypten.

  • 0
  • 3
#22 Rune Jensen

Du forstår vist ikke hvordan trust-modellen er opbygget i det globale certifikat-system.

Jeg er enig med dig i, at HTTPS er hvad der skal satses på - i det lange løb.

Men vi får bare ikke HTTPS fra dag til dag, og indtil da, synes jeg Mozilla springer over et step eller to.

HTTPS er også vigtig. Men det er en del af en større helhed.

Her er hvad jeg har fokus på lige pt. https://www.owasp.org/index.php/List_of_useful_HTTP_headers

Jeg prøvede denne på min side (omtalt på oWASP siden) http://cyh.herokuapp.com/cyh

og den fejlede fuldstændigt på hele skidtet :(

Før Mozilla kigger på tvunget HTTPS, så burde de nu se at få NoScript indbygget, og så se de headere som en samlet enhed, ikke kun HTTPS.

Det samme burde Google, før de laver for-rangering af HTTPS sider over HTTP sider. XSS-problemer og iframe-problemer bør efter min mening løses før HTTPS-problemet på langt de fleste sider (undtaget sådan noget som bank-sider, hvor alt skal være i orden fra starten)

  • 0
  • 0
#23 Erik Jensen

Hvilken form for sikkerhedsproblem er der som folk skal gøres opmærksom på når folk besøger min private hjemmeside, der ikke er krypteret, kun serverer statisk indhold, ingen cookies og ingen felter eller formularer som folk udfylder? Det er at råben ulven kommer. Lad der være når folk taster informationer ind, logger ind eller lignende.

  • 0
  • 0
#24 Peter Jensen

@ Rune Jensen

Før Mozilla kigger på tvunget HTTPS

Vær opmærksom på at Mozilla ikke tvinger nogen til HTTPS. Alle kan fortsat bruge den usikre HTTP lige så meget de vil.

Der er blot tale om at browseren skal gøre brugerne opmærksom på at en given hjemmeside bruger usikker dataoverførsel mellem server og klient.

Det er da en god ting i et internet hvor den gennemsnitlige bruger ikke er vant til at tænke på sikkerhed.

At bruge HTTPS er jo ufattelig vigtig for privatlivet. Det betyder fx at en arbejdsgiver ikke kan overvåge og profilere de ansatte politisk ved at se hvilke artikler, hjemmesider m.v. de læser på internettet i deres frokostpause osv.

Der er utallige andre eksempler.... En medarbejder læser måske en blog om alkoholmisbrug for at søge selvhjælp osv - hans arbejdsgiver eller andre overvågere på netværket kan ikke se at han gør dette og hans privatliv omkring hvilke emner han interesserer sig for er derfor beskyttet over netværket.

  • 0
  • 0
#25 Christian Nobel

Der er blot tale om at browseren skal gøre brugerne opmærksom på at en given hjemmeside bruger usikker dataoverførsel mellem server og klient.

Og hvad tror du det vil gøre for en allerede skrantende browser - mon ikke Hr. og Fru almindelig bruger vil blive skræmt, men i stedet for ikke at besøge de usikre sider vil de bare bruge en mere tolerant browser.

Så operationen lykkes, men desværre dør patienten.

Jeg er som sagt enig i, at på sigt så er HTTPS vejen at gå, men det klares ikke over night (se bare hvordan det snegler sig frem når vi taler IP V6), og i den mellemliggende tid burde Mozilla bruge kræfterne bedre på f.eks. en ordentlig HTML5 understøttelse.

  • 0
  • 1
#26 Peter Stricker

Og hvad tror du det vil gøre for en allerede skrantende browser - mon ikke Hr. og Fru almindelig bruger vil blive skræmt, men i stedet for ikke at besøge de usikre sider vil de bare bruge en mere tolerant browser.

Nu er det ikke sikkert, at Hr. og Fru er opmærksomme på muligheden for at skifte browser, hvis de har fået at vide, at Internettet er den lille røde ræv.

I stedet vil de nok forsøge sig frem på en side, de har tiltro til. Meget hurtigt vil de så lære, at den advarsel ikke betyder noget som helst for dem. Det er bare en ting, der skal overses på linje med cookie-bannerne.

Så operationen lykkes, men desværre dør patienten.

Muligvis dør patienten, men inden da medvirker den nok til udbredelsen af en ny pandemi.

  • 0
  • 0
Log ind eller Opret konto for at kommentere