HTTP sites onveilig

Firefox meldt tegenwoordig dat een http site een onveilige verbinding heeft en is het automatisch inloggen voor zo’n site uitgeschakeld. Dit is ook het geval bij de sites van de Linux Mint NL gemeenschap.

De oorzaak is de actie van de grote browsers, die willen dat iedereen op https overgaat. Door https wordt al het internetverkeer gecodeerd verzonden. Https maakt het onderscheppen van berichten moeilijk, maar voor gewone berichten, zoals via de linuxmintnl.nl sites, een stuk lastiger.

Volgens insiders is HTTPS goed als geheime informatie overgedragen wordt, maar onderscheppen is mogelijk.
De druk op de internetverbinding is hierdoor echter veel groter en zinloos als het om ‘gewone’ informatie gaat.
De verbinding wordt met https zwaarder belast waardoor vertraging kan ontstaan. En er is nog een pak nadelen.
Zij vermelden ook dat een ‘slechterik mogelijk’ het dataverkeer via een http verbinding zou kunnen onderscheppen, wat in de tijd van de analoge verbindingen gemakkelijk ging met krokodillenklemmen op de aansluiting van de juiste telefoonlijn. Nu is zelfs dat niet zo eenvoudig meer, maar het kan nog wel.
Een ander argument dat wordt gehoord is dat, als de overheid de gegevens kan decoderen slechteriken dat ook kunnen.

Als, en nogmaals. Als de verbinding wordt onderschept kan alleen worden gezien welke pagina’s worden bekeken en de tekst in berichten die via de verbinding wordt verzonden. In de pagina’s en in de tekst van de berichten hoort ook nooit persoonlijke informatie te staan. Als dat in een LMNL site wordt geconstateerd, wordt auteur daarop gewezen en zo mogelijk de info verwijderd.

Persoonlijke gegevens worden in de linuxmintnl.nl sites gecodeerd verzonden en zijn daardoor onleesbaar.
Er wordt door de beheerders van de linuxmintnl.nl server wel onderzocht of de zwaardere belasting opweegt tegen het nut van een https verbinding.
Voor Firefox is op de LMNL wiki  een kleine aanpassing beschikbaar, waardoor de melding niet meer verschijnt en toch automatisch kan worden ingelogd.

Het is wel zinvol om hier nog eens extra aandacht te vestigen op het NOOIT vermelden van persoonlijke gegevens in berichten, ook niet met een https verbinding.

Posted by:

Joan

5 Comments

  1. Fréñiçh -  15 april 2017 - 09:57

    Website’s beheerders moeten hun verantwoording nemen en een deugdelijk SSL certificaat installeren,zodat gebruikers ervan verzekerd zijn dat er een beveiligde verbinding is.

    Waarschuwingen maskeren is pure misleiding en niet erg netjes t.o.v gebruikers.

    Beantwoorden
  2. klaas -  15 april 2017 - 11:35

    “Het is wel zinvol om hier nog eens extra aandacht te vestigen op het NOOIT vermelden van persoonlijke gegevens in berichten, ook niet met een https verbinding.”
    Ben ik toch benieuwd hoe ik gebruikersnaam en wachtwoord moet invullen …..

    Beantwoorden
  3. Fréñiçh -  16 april 2017 - 13:38

    Kritische reactie op een in het openbaar geplaatst artikel worden blijkbaar niet toegestaan.

    Het nut van een in het openbaar geplaatst artikel ontgaat me dan ook volledig….of is het zo dat alleen niet kritische reacties geplaatst mogen worden.

    Beantwoorden
    • Klaas -  17 april 2017 - 23:48

      “Kritische reactie op een in het openbaar geplaatst artikel worden blijkbaar niet toegestaan.”
      Ik zie toch echt 2 “kritische” reacties van jou, dus waar je het over hebt?

      Beantwoorden
  4. Joan -  17 april 2017 - 23:52

    Ik lees vaak dat men niet wil dat een overheid meekijkt of luistert en tegelijk wil men van Facebook en WhatsApp gebruik maken. Dan moet ik toch wel lachen hoor.

    Het is goed als een verbinding via mobiele apparaten kan worden beveiligt, maar schiet niet in de stress als daar ineens iets aan veranderd. Verdiep je eens in de (on)mogelijkheden van beveiliging en tegelijk in de manieren die worden gebruikt om dat te omzeilen. Vraag b.v. eens in het rond naar telefoons waarvan het systeem is gekraakt waardoor de verbinding niet meer de veiligheid biedt die het had. Ga eens bij een wifispot of restaurant controleren hoeveel verbindingen er open staan.
    Er worden nog steeds persoonlijke en financiële gegevens in berichten geplaatst. Er wordt nog steeds op nepberichten gereageerd. Er worden nog steeds pincodes uitgewisseld.
    “Als, en nogmaals. Als …” Daarbij zal elke zichzelf respecterende site er voor zorgen dat de inloggegevens gecodeerd worden verzonden, ook via http en zeker als de site door een bedrijf wordt gehost.

    Hoezo meer beveiliging?

    Kritische berichten worden niet vermeden, maar verwacht niet dat er iemand klaarzit om direct op persoonlijke meningen te reageren. Dit is geen callcenter.

    Beantwoorden

Leave A Comment

Your email address will not be published. Required fields are marked (required):

Back to Top