FJ-ownersclub.nl website stapt over op HTTPS met SSL-certificaatDe website en forum van fj-ownersclub.nl is vanaf nu geheel overgestapt op beveiligd HTTPS-verkeer (met een hangslotje in de adresbalk, zoals je gewend bent bij internetbankieren, DigiD, en webshops). Dat betekent dat je nu, als het goed is, alle pagina's van de website en het forum via HTTPS krijgt. Mocht er ergens iets nog iets fout gaan, meld het dan in dit topic.
Het belang van HTTPS op onze website is beperkt, maar diverse internet-browsers zullen in de nabije toekomst steeds nadrukkelijker kenbaar maken dat een site "onveilig" is, als er geen SSL-certificaat aanwezig is.
Het hangslotje in de browsers Firefox, Edge, en Microsoft Internet Explorer Over HTTPSDe S in HTTPS staat voor 'secure' en het zorgt inderdaad voor een beveiligde verbinding. Let daarbij wel op dat dat alleen over de verbinding gaat. Onze site en jouw computer zijn door het gebruik van HTTPS niet ineens volledig hacker-proof geworden; daar zijn meer maatregelen voor nodig.
Een van de belangrijkste soorten aanvallen die met HTTPS sterk worden bemoeilijkt, is de zogenaamde 'Man in the Middle'-aanval. Dat lijkt op een proxy-server, maar dan met kwade bedoelingen. Daarbij zit een aanvaller tussen jou en de webserver in; naar jou toe doet hij zich voor als de webserver en naar de webserver doet hij alsof hij jou is. Ondertussen kan de aanvaller alle informatie die wederzijds wordt opgestuurd, inzien en/of aanpassen. Dit soort aanvallen is vooral gevaarlijk in situaties waarin echt iets te winnen valt, zoals een betaalopdracht bij een bank. Overigens hebben banken naast HTTPS meestal nog extra beveiligingsmaatregelen, zoals two factor authentication, om het MitM-scenario, en andere aanvallen, nog moeilijker te maken.
Bij 'gewone' websites zit het gevaar meer in het toevoegen van malafide zaken, zoals de injectie van malware of het toevoegen van advertenties.
Gelukkig is een MitM-aanval in de praktijk vrij lastig uit te voeren. Het is op zijn minst nodig dat jouw verbinding onderschept kan worden; er moet tenslotte ergens in de netwerkverbinding toegang verkregen worden. Er is wel een bekend voorbeeld: slecht beveiligde, publieke wifi-netwerken.
Naast de versleutelde verbinding biedt HTTPS ook extra authenticatie. Je browser controleert de hostname met het SSL-certificaat dat wordt opgestuurd. Als die niet met elkaar overeenkomen, geeft het een foutmelding en weigert het de pagina te tonen. Op die manier zijn domain-spoofs, en daarmee bijvoorbeeld phishing-aanvallen, wat lastiger op te zetten.
Privacy en het belang op deze siteBovenstaand MitM-principe is ook vanuit privacy-oogpunt gevaarlijk. De aanvaller hoeft immers niet per se de onderschepte informatie te veranderen; voor sommige doeleinden is het inzien ervan voldoende. Bovendien is het ongemerkt inzien van gegevens veel makkelijker dan het ongemerkt veranderen ervan.
Maar er gebeurt natuurlijk niet heel veel geheimzinnigs op deze site. Toch kan het geen kwaad eens na te denken wat je mogelijkerwijs via het forum met anderen deelt.
Denk aan het doorgeven van contactgegevens voor Vraag & Aanbod-advertenties, maar ook aan mogelijke discussies in het forum, zoals discussies die kunnen gaan over hoe slecht een werkgever is. Een bericht dat vanaf het netwerk van de werkgever wordt geplaatst, kan in theorie naar de plaatser teruggeleid worden. Daar hoeft dan alleen maar de meta-informatie voor te worden bijgehouden, zoals welke URLs door iemand op welk tijdstip worden opgevraagd. Met HTTPS is via dergelijke metadata nog wel te zien dat en op welk tijdstip je verbinding maakt met de server van fj-ownersclub.nl, maar niet wat je dan opvroeg.
Overigens is dit vooral relevant op netwerken waarvan je de tussenstations niet helemaal vertrouwt, want dat je technisch gezien afgeluisterd
kan worden, is natuurlijk nog geen garantie dat het ook daadwerkelijk gebeurt. Zelfs diegenen die niet van de goedheid van hun medemens willen uitgaan, kunnen nog hopen op de gierigheid; apparatuur om af te luisteren kost geld om aan te schaffen, en tijd om op te zetten.
Mixed contentHet grootste praktische probleem met HTTPS is het concept 'mixed content'. Bij mixed content zijn er 'onveilige' elementen geladen in een 'veilige' pagina. Anders gezegd, er zitten elementen vanaf HTTP-servers tussen.
Denk daarbij aan plaatjes die je met de 'IMG'-tags in een forumbericht plaatst. Gelukkig zijn veel websites, zoals het hier veelgebruikte MijnAlbum en Youtube al lang overgestapt op HTTPS, waardoor dat vaak geen probleem meer is. De forumsoftware voorziet bovendien nog in een extra maatregel waardoor plaatjes van HTTP-servers niet als onveilig zullen worden gezien.
Desondanks kan ik niet uitsluiten dat wanneer je grasduint in oudere forumdiscussies, sommige plaatjes niet worden weergegeven, of dat je browser met een waarschuwing komt dat er 'onveilige inhoud' op de pagina staat. Van dergelijke waarschuwingen moet je dus niet in de stress schieten; we hebben het jarenlang prima met HTTP in plaats van HTTPS kunnen doen, en dat is niet ineens staatsgevaarlijk geworden.
Dat sommige plaatjes uit oude forumtopics niet meer worden weergegeven, heeft trouwens als meest waarschijnlijke oorzaak dat die plaatjes inmiddels verwijderd zijn van de server waar ze ooit stonden, en dan heeft het dus niets met de overgang naar HTTPS te maken.
Avatars
De enige beperkende maatregel die ik (voorlopig) heb moeten treffen, is het uitschakelen van de mogelijkheid om avatars te gebruiken die op andere servers gehost werden. Wanneer dit een HTTP-server is, zou er dan namelijk ook een regelmatig voorkomend browser-alarm wegens 'onveilige inhoud' kunnen komen. De bestaande gevallen heb ik omgezet naar lokaal opgeslagen avatars. De beperking is vooral voelbaar in strengere eisen over de omvang van de avatar (maximaal 80 x 80 pixels groot), en het is lastiger geworden om een bewegende avatar (met .gif-extensie) te plaatsen.
De toekomstWe zitten nu in een overgangsperiode, waarin er zowel HTTP als HTTPS-verkeer bestaat. Uiteindelijk zal het hele internet HTTPS worden, maar tot die tijd zijn er dus incidentele problemen en waarschuwingen te verwachten, vooral als er 'mixed content' wordt gedetecteerd.
Voor zover ik het heb kunnen nagaan, zou de site nu zonder problemen met HTTPS moeten werken, maar er zijn inmiddels zoveel verschillende platformen en browsers, dat ik niet alles kan testen.
Denk je dus te merken dat er sinds vandaag iets ontbreekt of niet meer werkt, meld dat dan in dit topic. Ook als je browser regelmatig moord en brand schreeuwt, omdat er iets onveilig zou zijn, laat het dan even weten.
Bovenstaande tekst bevat een ingekorte en aangepaste versie van dit artikel op Tweakers.net