Google slutar markera HTTPS-baserade webbplatser som säkra i Chrome 69

Trädvy Permalänk
Inhibitor
Registrerad
Dec 1999

Google slutar markera HTTPS-baserade webbplatser som säkra i Chrome 69

I takt med att HTTPS blivit allt vanligare på webben meddelar Google att de nu ska normalisera protokollet genom att ta bort den traditionella säkerhetsmarkeringen i sökfältet.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Registrerad
Jun 2013

Snart inväntar HTTPSS då för paranoida människor

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011

Illrött för "vanlig" http? Tur att jag kunde fixa letsencrypt till min sida gratis då, för det hade inte varit kul att behöva pröjsa för certifikat.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2007

Något som Faktiskt irriterar är den stora varning och att man behöver åtminstone klicka 2 gånger för att komma in på en sida med bara http, kan jag avaktivera det i chrome/chromium?

Finns ett gäng sidor där https känns onödigt, ett annat användningsområde är när man ansluter till sin egna routers interface och chrome varnar för osäker sida, liksom det är min router på mitt lan sluta varna mig liksom..

Ryzen 1700x @ Corsair 16gb 3200mhz lpx @ Gigabyte 7950 @ Msi x370 plus @ Evga 650 80+gold modulärt @ Fractal r5 @ Corsair hydro 110i = Benq 144hz 1920-1080 24tum
i5 4670k @ Asus z-87a @ Corsair vx450 @ Corsair 16gb 1600mhz @ Fractal r3
c2d e4400 @ 4gb noname @ 10tb+ @ noname chassi

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2007

Bra. Tycker det är sjukt dumt att en sida räknas som "Säker" bara för att den kör https. Tar ju 5 min att fixa letsencrypt till din phishingsajt, så är den grön och säker enligt webbläsaren.

Core i7 7700K | Titan X (Pascal) | MSI 270I Gaming Pro Carbon | 32 GiB Corsair Vengeance LPX @3000MHz | Samsung 960 EVO 1TB

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Nov 2010

Texten säker kan de ta bort, men låset och kolla in certifikatet är bra att kunna göra. Den kan dock få ligga lite mer dold om de vill, bara den är lätt att komma åt.
*edit*
De behåller väl låset om jag tolkar det rätt, då bli det skitbra. Texten säker är så vilseledande som det inte är klokt, nästan så de skulle kunna bli stämda för detta av folk som råkar ut för brott.

i7 7700K & Ryzen 1800X. Båda har 64GB ram, 500 GB 960 Evo m.2. Grafikkort är något jag hittade i en container..

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011
Skrivet av Ozzed:

Illrött för "vanlig" http? Tur att jag kunde fixa letsencrypt till min sida gratis då, för det hade inte varit kul att behöva pröjsa för certifikat.

Det är nog inte många år kvar till icke-https är helt borttaget från nya webbläsare. Mycket tack vare att cert numera är helt gratis.

EDIT: med localhost som undantag, kanske.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008

Synd att många banker använder det gröna hänglåset och utfärdaren som tips till kunderna för att undvika phishing. Det kommer alltså att finnas en övergångsperiod då folk med gamla webläsare kommer att tro att de är säkra med HTTP.

Skickades från m.sweclockers.com

Mjölnir: AMD Ryzen 5 2400G | Gigabyte GA-AB350N | Crucial Ballistix Sport 8GB | Sapphire RX 580 8GB NITRO+ | IKEA Knagglig
Server: Intel i7-2600 | ASRock Z68 Fatal1ty (defekt men bootar) | Corsair XMS 32GB | Sapphire HD 5850 1GB | NZXT Switch 810

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av sleepyoh:

Något som Faktiskt irriterar är den stora varning och att man behöver åtminstone klicka 2 gånger för att komma in på en sida med bara http, kan jag avaktivera det i chrome/chromium?

Finns ett gäng sidor där https känns onödigt, ett annat användningsområde är när man ansluter till sin egna routers interface och chrome varnar för osäker sida, liksom det är min router på mitt lan sluta varna mig liksom..

Rimligen är det den osäkra anslutningen den varnar för, sidan vet den ju ingenting om.

Sedan är det ju det där ett typiskt scenario där svaret är "det beror på", gällande om det är okej eller ej att ansluta till din router via http.
"Det beror på" kräver både kunskap (inte bara om det tekniska utan även om den aktuella situationen) och omdöme.
Folk klarar inte det och det går inte att lösa på rent teknisk väg -> http lär mer och mer tvingas bort.

Just att veta vem man "fått tala med" och att kommunikationen inte modifierats av annan part i sig löser en del problem, sedan löser krypteringen ytterligare problem. Https löser på intet sätt allt, men det är ett enkelt sätt att få en rimlig grund att bygga vidare på.

Intel i7 6850k || Asus X99-A II || Evga GTX 980Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Plats
Min stol
Registrerad
Maj 2016

Ja ja illröd färg kan bli grön för en färgblind som mig så det ska nog bli bra. Jag lär väl ta fram ett mikroskop för att se vilken rad av subpixlar som ljusar på skärmen för att bestämma om det är den ena eller andra färgen. Hänglåset givar i all fall något mera visuellt att förhålla sig till så bara dumt av dem att avlägsna det.

Main: Win 10 Pro, Gigabyte Z97X-SLI, i7-4790K stock, HyperX 4x4 GB PC-12800, GTX 960 2GB, Kingston m.2 128, GB SSD 11TB RAID lager.
HTPC: Win 10 Pro, Gigabyte Z97P-D3 i5-4570s, Crucial 4+4 GB PC-12800, Kingston SATA3 120 GB SSD, Asus Blu-Ray.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2001
Skrivet av Djhg2000:

Synd att många banker använder det gröna hänglåset och utfärdaren som tips till kunderna för att undvika phishing. Det kommer alltså att finnas en övergångsperiod då folk med gamla webläsare kommer att tro att de är säkra med HTTP.

Skickades från m.sweclockers.com

Nja, webbläsaren varnar tydligt om du besöker en sida med HTTP.
Men blir intressant att se hur de gör med EV-certifikat. Om de bara ska ha ett hänglås kommer den informationen (som företag betalat svinmycket pengar för) inte få plats.

Tycker detta är mest positivt. En sida är inte "säker" bara för att den använder HTTPS och har ett giltigt certifikat. Så att skriva "Säker" med snälla gröna bokstäver invaggar folk i falsk säkerhet. Trafiken är krypterad, men det säger ingenting om hur säker själva sidan, databasen o.s.v. är mot intrång, eller vad de anställda gör med den data man anger på sidan.

Det enda som är lite irriterande är när man surfar in på sina egna enheter i nätverket, som router, NAS o.s.v och får varningar. Har man en egen domän kan man använda sig av ett SAN cert från Let's Encrypt, men det är inte så många hemanvändare som sitter på en egen domän...

Dator: R7 1800X, Asus Prime X370 Pro, 16 GB DDR4 3200, GTX 1070, 2,3 TB SSD, Win10
Emulering / Retro: Lotharek MiST 1.3+ | HTPC: Z8300, 4 GB RAM, 32 GB Flash, Win10+Kodi
NAS: DS218+, 4+8 TB HDD | Server: RPi 3, DietPi (VPN, DDNS, DNS, DHCP, Webb, SQL)

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av Pepsin:

Tycker detta är mest positivt. En sida är inte "säker" bara för att den använder HTTPS och har ett giltigt certifikat. Så att skriva "Säker" med snälla gröna bokstäver invaggar folk i falsk säkerhet. Trafiken är krypterad, men det säger ingenting om hur säker själva sidan, databasen o.s.v. är mot intrång, eller vad de anställda gör med den data man anger på sidan.

Så... kanske det borde stå just det?
Encrypted / Krypterad.
Inget säker, inget som inte stämmer.

Problemet är ju att tar man bort detta så kommer de som förväntar sig se det, reagera på när de inte är där. Google har satt galenskapen på att göra HTTPS farligt... genom att först tvinga alla på det, och därför väljer alla att tro dessa är säkra, och allt annat är livsfarligt. Sen tar de bort denna infon, som man förväntar se, så nu plötsligt är HTTPS inte positivt benämnt längre.

Någon form av info borde finnas. Hänglåset kanske räcker, men någon form av info på krypterad ansluntning eller inte, är rätt viktigt.

Skrivet av Pepsin:

Det enda som är lite irriterande är när man surfar in på sina egna enheter i nätverket, som router, NAS o.s.v och får varningar. Har man en egen domän kan man använda sig av ett SAN cert från Let's Encrypt, men det är inte så många hemanvändare som sitter på en egen domän...

Det är verkligen irriterande när man försöker just säkra sånt hemma, och måste plocka fram osäkra äldre webbläsare bara för att ens komma in i routrar som har äldre kryptering, då man inte ens kan kringgå det i nyare webbläsare. Om något är det större säkerhetsrisk att använda ingen kryptering då (går ju att stänga av i vissa routrar), eller äldre webbläsare.... så hf man tänker här vet jag inte.

Trädvy Permalänk
Medlem
Plats
sektor 001
Registrerad
Aug 2003

Inget är helt säkert eller osäkert.

Bäst vore alltså att helt enkelt på alla sidor istället bara markera med en: "Here be dragons!"

Operativsystemet som löser nästan alla problem: Mint

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av Pepsin:

Nja, webbläsaren varnar tydligt om du besöker en sida med HTTP.

Nej, Chrome gör det. Går du mellan Chrome och Firefox ser osäkra sidor i Firefox nästan ut som säkra sidor i Chrome med denna förändring.

Skrivet av Pepsin:

[...]

Tycker detta är mest positivt. En sida är inte "säker" bara för att den använder HTTPS och har ett giltigt certifikat. Så att skriva "Säker" med snälla gröna bokstäver invaggar folk i falsk säkerhet. Trafiken är krypterad, men det säger ingenting om hur säker själva sidan, databasen o.s.v. är mot intrång, eller vad de anställda gör med den data man anger på sidan.

Fast nu är ju hela syftet med HTTPS att skydda länken mellan din dator och servern. Att servern i sig kanske inte är säker är inget HTTPS kan eller ska bry sig om, likaså indikeringen på att HTTPS är påslaget.

Skrivet av Pepsin:

Det enda som är lite irriterande är när man surfar in på sina egna enheter i nätverket, som router, NAS o.s.v och får varningar. Har man en egen domän kan man använda sig av ett SAN cert från Let's Encrypt, men det är inte så många hemanvändare som sitter på en egen domän...

Ja, och det är bara ett ytterligare dåligt designbeslut i Chrome. En av väldigt många anledningar till att jag håller mig till Firefox.

Mjölnir: AMD Ryzen 5 2400G | Gigabyte GA-AB350N | Crucial Ballistix Sport 8GB | Sapphire RX 580 8GB NITRO+ | IKEA Knagglig
Server: Intel i7-2600 | ASRock Z68 Fatal1ty (defekt men bootar) | Corsair XMS 32GB | Sapphire HD 5850 1GB | NZXT Switch 810

Trädvy Permalänk
Medlem
Registrerad
Dec 2004

Det är superbra om webläsare varnar för HTTP, det finns så odrägligt många sidor (speciellt mindre företag, kommunala bolag, bostadsbolag osv) som skiter i detta.

Har skickat ett antal mail genom åren och uppmärksammant på både HTTP och riskerna med att lagra lösenord i klartext (som typ 50% av alla bostadsbolag gör), men får aldrig svar. Förmodligen för att de inte ens förstår vad jag pratar om.

Säkerhet inom IT behövs påtvingas genom nya standarder.

Trädvy Permalänk
Medlem
Plats
Hufwudstaden
Registrerad
Apr 2005

De som irriterar sig på varningar för deras lokala sidor som fortfarande körs okrypterat kan ju skapa undantag för localhost 127.* 10.* 192.168.* så bör de flesta försvinna. (172.16.* - 172.31.* är lite bökigare, men inte många som kör)

Newton R3 600W | i7-4770S | ASRock Z87M Extreme4 | Crucial 32GB 1600 | inno3D GTX 980 | Samsung SSD 850 500GB

Trädvy Permalänk
Medlem
Plats
Vimmerby
Registrerad
Maj 2008
Skrivet av Ozzed:

Illrött för "vanlig" http? Tur att jag kunde fixa letsencrypt till min sida gratis då, för det hade inte varit kul att behöva pröjsa för certifikat.

Cloudflares SSL-certificat är också riktigt bra och gratis

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av kabbedi:

Cloudflares SSL-certificat är också riktigt bra och gratis

Det är det säkert. Att jag valde letsecrypt var bara för att det var "klick, klick, klart" på mitt webhotell. Men förhoppningsvis så kan man i framtiden välja mellan flera leverantörer.

Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass. http://ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook.