Forum Övrigt Nyhetskommentarer Tråd

Google märker HTTP-baserade webbplatser som osäkra från och med Chrome 68

1
Skriv svar
Permalänk
Melding Plague

Google märker HTTP-baserade webbplatser som osäkra från och med Chrome 68

Som en del av en långsiktig plan för en säkrare webb, kommer Google markera samtliga webbplatser utan HTTPS som osäkra i webbläsaren Chrome från och med version 68.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Redigera
Citera flera Citera
Permalänk
Medlem

Take that Web.

Redigera
Citera flera Citera
Permalänk
Inaktiv

Det finns olika sätt att märka ut det på jag vill dock inte se för mycket krångel, texten Inte Säker är bra.

Orsaken är att man använder webbläsaren till så mycket internt och dessa interna SSL certifikat och vad det nu heter kan ställa till med mer problem än nytta. Hur många har t.ex privat en https adress till deras privata skrivare som enbart går att komma åt från det lokala nätverket?
*edit*
Jag är en idiot, de gör som jag ville. Då är allt bra.
Det enda problemet är att förklara för användare vad Inte säkert betyder och att det ändå kan vara säkert. (En VPN tunnel som står för skyddet etc)

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Samtidigt hos webbutvecklarna som anlitas av offentlig sektor:

- Gôbbar, det börjar bli dags att fasa ut Internet Explorer 6.0. Jag vet att vi har det som obligatoriskt krav för besökarna idag, utan något som helst stöd för andra webbläsare, men jag känner att 2018 är året då vi gör det där lilla extra för kunderna.

(något senare inne på fakturaavdelningen...)

- Anita, fixar du lite extra salt på nästa faktura? Du kan ange "utvecklingsarbete för ny teknisk plattform" som skäl.

Redigera
Citera flera Citera
Permalänk
Medlem

Jaha.. då måste jag nog ta reda på hur man får sin sida att bli https-kompatibel då.

Visa signatur

AMD Ryzen 9 3950X | Asus Crosshair VIII Hero | 64 GB DDR4 3200MHz | MSI GeForce RTX 3090 Suprim X 24GB

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av serdyllon:

Samtidigt hos webbutvecklarna som anlitas av offentlig sektor:

- Gôbbar, det börjar bli dags att fasa ut Internet Explorer 6.0. Jag vet att vi har det som obligatoriskt krav för besökarna idag, utan något som helst stöd för andra webbläsare, men jag känner att 2018 är året då vi gör det där lilla extra för kunderna.

(något senare inne på fakturaavdelningen...)

- Anita, fixar du lite extra salt på nästa faktura? Du kan ange "utvecklingsarbete för ny teknisk plattform" som skäl.

Gå till inlägget

Och då är det väl bra med lite extra motivation?

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

@Sir_Manfred: kan rekommendera https://letsencrypt.org/ och använda https://certbot.eff.org/ - gratis med automatisk förnyelse.

Redigera
Citera flera Citera
Permalänk
Medlem

@Sir_Manfred:
Beroende på om du kör nginx eller apache idag så finns det enklare respektive svårare sätt. Men skulle rekommendera letsencrypt med nginx. Kör unraid med dockerplugin från linuxserver.io funkar riktigt bra. Gå in på lsio:s hemsida så kan du hitta guider för det. Annars kan du pma mig så kan jag lotsa dig vidare beroende på hur din setup ser ut

Visa signatur

Do good. Be good. Repeat.

EVGA Geforce GTX 980 SC ACX 2.0

Redigera
Citera flera Citera
Permalänk
Medlem

Det känns som ett vettigt och logiskt beslut för sidor som faktiskt har inloggningsinformation och sådant, men alla webplatser? Det känns oligiskt.

Visa signatur

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.
Vet du att du har fel? Signalera detta tydligt med Argumentationsfel och gärna Whataboutism.

Redigera
Citera flera Citera
Permalänk
Medlem

Känns som svammel. HTTPS gör ingen skillnad om du kör Lynx, elinks eller netsurf om du inte har javascript, ecmascript, *script eller ens plugins ändå. Säg snälla vilken attackvektor de (malware skaparna) har mot en ren HTTP/HTML läsare som inte ens visar bilder. (Netsurf kan visa bilder, men det går att stänga av genom att inte installera några image translators och köra i framebuffer mode)

Ge makten över internet till certifieringsföretag så att de lättare kan ta bort ditt certifikat om du sprider oönskade åsikter.

Visa signatur

2x Xeon E5-2699 v4, 256gb Quad Channel RAM, 2x nVIDIA 980ti
----
AMD Ryzen 5950X, 128gb Dual Channel RAM, 2x AMD 6900XT
----
Massiv amiga och 3dfx-samling.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ozzed:

Det känns som ett vettigt och logiskt beslut för sidor som faktiskt har inloggningsinformation och sådant, men alla webplatser? Det känns oligiskt.

Gå till inlägget

Inte alls.

Det finns både en integritetsaspekt (i bemärkelsen "privacy") och en autentisering+dataintegritetsaspekt (i bemärkelsen att inte tredje part kan låtsas vara siten och/eller ändra delar av innehållet) som är relevanta även för sidor som inte har någon inloggning eller håller några hemligheter i egentlig mening.

Det finns liksom ingen uppsida med att ha en helt oskyddad anslutning.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av danedi:

Känns som svammel. HTTPS gör ingen skillnad om du kör Lynx, elinks eller netsurf om du inte har javascript, ecmascript, *script eller ens plugins ändå. Säg snälla vilken attackvektor de (malware skaparna) har mot en ren HTTP/HTML läsare som inte ens visar bilder. (Netsurf kan visa bilder, men det går att stänga av genom att inte installera några image translators och köra i framebuffer mode)

Ge makten över internet till certifieringsföretag så att de lättare kan ta bort ditt certifikat om du sprider oönskade åsikter.

Gå till inlägget

Inloggningsuppgifter i klartext som flyger runt på internet? (eller ännu värre, på det öppna nätverket hos ditt lokala kafe)
MITM-attacker?
Det känns som du totalt missförstått vad en SSL/TLS-anslutning tillför.

Visa signatur

Spela Swemantle! Du vet att du vill.

Ibland har jag fel, men då är det någon annans fel.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LemonIllusion:

MITM-attacker?

Gå till inlägget

Modifikation av data in-flight, insättning av reklam från din ISP (ovanligt i Sverige, vanligare utomlands, vanligt på hotelnätverk), insättning av annan data som kan innehålla skadlig kod (Om nu "Malware" är den enda vektorn man tror existerar).

Det finns ingen reklam fri HTTP sida; det finns alltid besökare som ser den med reklam insatt. Skillnaden är att det är inte ägaren av sidan som får betalt; men det är ägaren som användaren beskyller om reklamen är jobbig.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag tycker dock att man missar något, en site blir inte säker bara för att de kör HTTPS, visst är det ett steg i rätt riktning men många som inte har kunskap verkar (i alla fall av min vetskap) tro att det är "fail safe" så länge adressfältet lyser grönt i chrome.

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av gonace:

Jag tycker dock att man missar något, en site blir inte säker bara för att de kör HTTPS, visst är det ett steg i rätt riktning men många som inte har kunskap verkar (i alla fall av min vetskap) tro att det är "fail safe" så länge adressfältet lyser grönt i chrome.

Gå till inlägget

Ja, det är ju ett problem i sig. Men det är inget som talar emot att i större utsträckning köra HTTPS.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem

@evil penguin: Absolut inte, missförstå mig inte det är absolut något jag tycker man ska genomföra men...informationen till allmänheten verkar inte finnas eller vara klar nog att folk får för sig att sidor per automatik blir säkra eller "fail safe" så fort de lyser grönt

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hippomania:

@Sir_Manfred: kan rekommendera https://letsencrypt.org/ och använda https://certbot.eff.org/ - gratis med automatisk förnyelse.

Gå till inlägget

Om utfärdaren inte är betrodd kommer sidan ändå betraktas om osäker precis som med egenutfärdade certifikat. Är letsencrypt och certbot betrodda av Google/Chrome?

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dr.Mabuse:

Om utfärdaren inte är betrodd kommer sidan ändå betraktas om osäker precis som med egenutfärdade certifikat. Är letsencrypt och certbot betrodda av Google/Chrome?

Gå till inlägget

Let's Encrypt är betrott av alla de större webbläsarna. Både bra och dåligt att det är så enkelt att fixa cert idag. Bra att fler och fler kör HTTPS, men förr krävde det att man var någorlunda seriös för att lägga pengar på ett cert och bli godkänd. Idag kan vem som helst som sagt fixa HTTPS, även om man bedriver en bedrägerisida o.s.v.

HTTPS i sig garanterar ingen säkerhet. Sidan kan fortfarande vara dåligt programmerad och osäker, eller lösenorden kan t.ex. lagras i klartext i en uråldrig databas full med säkerhetshål och utan kryptering.

Senast redigerat
Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Pepsin:

Let's Encrypt är betrott av alla de större webbläsarna. Både bra och dåligt att det är så enkelt att fixa cert idag. Bra att fler och fler kör HTTPS, men förr krävde det att man var någorlunda seriös för att lägga pengar på ett cert och bli godkänd. Idag kan vem som helst som sagt fixa HTTPS, även om man bedriver en bedrägerisida o.s.v.

HTTPS i sig garanterar ingen säkerhet. Sidan kan fortfarande vara dåligt programmerad och osäker, eller lösenorden kan t.ex. lagras i klartext i en uråldrig databas full med säkerhetshål och utan kryptering.

Gå till inlägget

Certifikat betyder inte att en sida är säker eller bra. Den hjälper till att kryptera informationen och gör det en smula svårare att leka med någons trafik.

Inte ens de bästa certifikat är speciellt säkra då själva CA går inte att lita på. Systemet är bättre än inget men långtifrån säkert i ordets rätta mening. Tyvärr är nyckelutbyte problematiskt och inget som går att lösa så att det är både enkelt och säkert. Certifikat satsar på enkelt och osäkert men fortfarande bra mycket bättre än ingen kryptering.

Redigera
Citera flera Citera
Permalänk
Medlem

@anon127948: Precis och så finns det ju olika sorters kryptering (SHA1, 256 etc etc).
Har för mig att Chrome varnar om det är ett cert med kass kryptering men jag kan ha fel

Visa signatur

Skärm Samsung 32" C32JG50 144Hz | CPU Ryzen 5 2600X | GPU AMD Vega 64 vattenkyld | Moderkort Asus Rog Strix B350-F Gaming | Minne 16 GB Corsair CL15 Vengeance | HDD 1 TB NVMe Samsung 970 Evo | Chassi Lian Li O11 Dynamic Svart

Redigera
Citera flera Citera
Permalänk
Medlem

@martak: Tror du blandar ihop kryptering med hashning, SHA1 och SHA2 (där SHA256 ingår) är hashningsalgoritmer som används för själva certifikaten. SHA1 är det som Chrome varnar för om det används.

Visa signatur

flippy @ Quakenet

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av anon127948:

Certifikat betyder inte att en sida är säker eller bra. Den hjälper till att kryptera informationen och gör det en smula svårare att leka med någons trafik.

Inte ens de bästa certifikat är speciellt säkra då själva CA går inte att lita på. Systemet är bättre än inget men långtifrån säkert i ordets rätta mening. Tyvärr är nyckelutbyte problematiskt och inget som går att lösa så att det är både enkelt och säkert. Certifikat satsar på enkelt och osäkert men fortfarande bra mycket bättre än ingen kryptering.

Gå till inlägget

Japp, precis därför är det lite problematiskt när webbläsare målar upp en svartvit bild att HTTP = Osäkert, HTTPS = säkert, just eftersom HTTPS inte garanterar att en sida är "säker" eller autentisk (om det inte är fråga om någon form av extended certifikat).

Senast redigerat
Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Redigera
Citera flera Citera
Permalänk
Medlem

Råkade nyss ut för ett phising försök där sidan man skulle gå till såg ut som microsofts web-mail för exchange. I brevet fanns någon luddig beskrivning om varför man ville att användarna skulle logga in samt en länk.

Länken gick till en site som lyste grönt och "Secure" samt såg nästan ut som den web-mail login vi vanligen använder. Cerifikatet på denna site var ett *.domain.com vilket tydligen är vanligt på web-hotell.

Problemet är att man inte kan spärra bort hela domänen då det gäller web-hotell vilket gör att de som driver phisingsidan bara behöver byta namn och köra vidare.

När folks uppfattning om vad som är säkert eller osäkert på internet baseras på om det lyser grönt så kommer det även i fortsättningen att finnas jobb för support och tekniker då lösenord och konton skall återställas.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Pepsin:

Japp, precis därför är det lite problematiskt när webbläsare målar upp en svartvit bild att HTTP = Osäkert, HTTPS = säkert, just eftersom HTTPS inte garanterar att en sida är "säker" eller autentisk (om det inte är fråga om någon form av extended certifikat).

Gå till inlägget

Inga certifikat i världen garanterar autenticitet. Det ända de säger ett en CA (som man kan lita på lika långt som man kan kasta den) någonstans i världen gav ut ett certifikat. Det finns ingen skydd i systemet mot DNS spoofing och liknande.

Så ja det är helt klart ett problem att folk tränas att tro att ett grönt lås eller företags namn garanterar säkerhet. Det är bättre än HTTP men långt ifrån så säkert som det bör vara. Tyvärr är utbyte av nycklar komplicerat plus att stater har noll intresse av säkert internet då de alla verkar vara kåta som fan på att övervaka allt och alla.

Edit/PS: grc.com's SQRL är ett extremt bra försök att införa autentisering som fungerar åt båda hållen. Det vill säga att du bekräftar din identitet till siten men att den gör så till dig med. Sedan får vi se om det faktiskt finns intresse för verkligen säkra system eller om det är bara skitsnack från företagen.

Redigera
Citera flera Citera
Permalänk
Medlem

@ante84: Haha, ja

Visa signatur

Skärm Samsung 32" C32JG50 144Hz | CPU Ryzen 5 2600X | GPU AMD Vega 64 vattenkyld | Moderkort Asus Rog Strix B350-F Gaming | Minne 16 GB Corsair CL15 Vengeance | HDD 1 TB NVMe Samsung 970 Evo | Chassi Lian Li O11 Dynamic Svart

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Ozzed:

Det känns som ett vettigt och logiskt beslut för sidor som faktiskt har inloggningsinformation och sådant, men alla webplatser? Det känns oligiskt.

Gå till inlägget

Det är inte alls ologiskt, http är öppet för MIM-attacker. Därför kan det även hända skit även om du inte skickar något känsligt, exempelvis kan en hackare injicera skadlig kod.

Redigera
Citera flera Citera
Permalänk
Medlem

Ett hårt och onödigt slag mot de enda användbara sidorna på nätet - de som bara kört in ett CMS eller forum och sedan öst på med bra information. Medan krafsbloggare, skräpportaler och bedrägerisajter naturligtvis kommer att se till att de kör https.

Visa signatur

[4790k@4.6]+[RTX 3070 OC]+[16GB]+[4x SSD]+[NZXT+700W Gold]+[Win7]+[2x Samsung SA27950D <3]+[Topre TKL]+[G403 Hero wired]+[HyperX Cloud Alpha S]+[KingKong 2 Pro]. ZBook 17 G5, Quadro P3200, Win11.

Redigera
Citera flera Citera
Permalänk
Medlem

Microsoft själva har ju tydligen inte så bra säkerhet när det gäller det här

https://www.computerworld.com/article/3256304/microsoft-windo...

Länk till katalogen där KB4074588 finns:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074...
Om man hämtar hem den översta så blir adressen så här http://download.windowsupdate.com/c/msdownload/update/softwar...

Visa signatur

An application program (sometimes shortened to application) is any program designed to perform a specific function directly for the user or, in some cases, for another application program.
https://www.userbenchmark.com/ Talar om vad du har!

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara