Auteur Topic: Firefox 51 geeft een http inlog als onveilig aan.  (gelezen 1713 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.010
Firefox 51 geeft een http inlog als onveilig aan.
« Gepost op: 25 januari 2017, 14:05:22 »
Sinds gisteren is Firefox 51 uit. Deze versie geeft nu standaard een rood doorgestreept slotje op een http pagina waar een wachtwoord ingevuld moet worden.

Als je thuis dus gewend bent om de nas via http te benaderen zul je dit symbool gaan zien. Chrome is iets vergelijkbaars van plan vanaf versie 56. (Eind jan of begin febr.) (Edit: Een dag later, 26 Jan, is Chrome 56 uitgekomen)

Nu zijn het alleen nog de pagina's met wachtwoorden, maar in de toekomst zal Firefox alle http paginas dat doorgestreepte slotje laten zien.

Dit ter info voor mensen die zich afvragen waarom ze nu dat symbooltje zien als ze op de nas inloggen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 478
  • -Ontvangen: 1023
  • Berichten: 5.915
Re: Firefox 51 geeft een http inlog als onveilig aan.
« Reactie #1 Gepost op: 26 januari 2017, 07:26:45 »
Met de toenemende internet criminaliteit lijkt me dat geen overbodige luxe.  Ik handel er toch al naar omdat ik me van de gevaren bewust ben.
Bij een website met "http" mocht ik een wachtwoord moeten invullen, verander ik die "http" in  "https" om te zien of dat ook voorhanden is.
(Dat is namelijk zeker niet altijd standaard).

Mijn eigen servers gaan automatisch reeds naar "https" en gebruik een SSL certificaat.

En het komt dus echt voor dat wachtwoorden worden gescand bij gebruik van openbare WiFi en gebruikers erna worden gehackt:
Zie eerder bericht op het forum < HIER > en de rest van het draadje, met aanbevelingen waar op te letten met maatregelen om veiligheidsrisico's te verminderen.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.010
Re: Firefox 51 geeft een http inlog als onveilig aan.
« Reactie #2 Gepost op: 26 januari 2017, 09:33:35 »
Een inlog via http is niet per definitie onveilig. Het wachtwoord gaat echt niet altijd als plaintekst over het internet, zoals vaak beweerd wordt.

Toen deze website nog http gebruikte bij een inlog, heb ik wel eens met wireshark gekeken of ik mijn wachtwoord kon terugvinden. Dat lukte niet. Ik zag in de inlog procedure dat er een hash verzonden werd. Die moet dan eerst gekraakt worden.

Als je in de JS code van de inlogprocedure kijkt, zie je dat je wachtwoord ook nog ge-salt wordt met de session ID. Dus elke keer is die hash weer anders, wat het ook extreem moeilijk maakt om te kraken.

Voor de aardigheid. De gebruikte code die ik zie om het wachtwoord te coderen:
doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);Het wachtwoord wordt dus in de browser gehashed, vervolgens wordt de session ID toegevoegd en dan weer gehashed. Deze dubbele hash gaat het internet op.

De eerste hash zal op de server opgeslagen zijn. Daar zal deze hash ook met het session ID gehashed worden. Dat resultaat zal dan vergeleken worden met de ontvangen data van de inlogger.

Het probleem van een http inlog is dat je op voorhand niet weet hoe je wachtwoord verstuurd gaat worden, dus kun je er beter van uitgaan dat dit zichtbaar zal zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 478
  • -Ontvangen: 1023
  • Berichten: 5.915
Re: Firefox 51 geeft een http inlog als onveilig aan.
« Reactie #3 Gepost op: 26 januari 2017, 14:54:07 »
Het probleem van een http inlog is dat je op voorhand niet weet hoe je wachtwoord verstuurd gaat worden, dus kun je er beter van uitgaan dat dit zichtbaar zal zijn.

Dat is de essentie van het achterliggende idee.  ;)
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.010
Re: Firefox 51 geeft een http inlog als onveilig aan.
« Reactie #4 Gepost op: 31 maart 2018, 14:40:43 »
Gisteren heeft Safari een update gehad van 11.0.2 naar 11.1. Nu heeft ook Apple deze "niet veilig" tekst toegevoegd.

Ook zonder check of je gewoon lokaal inlogt en zonder check of het wachtwoord ook bij http gecodeerd verstuurd wordt



Ergerlijk, want ik weet dat mijn lan veilig is. (Zo niet, dan heb ik een heel ander probleem dan alleen de inlog) En op een deel van mijn camera's en ook op mijn router kan ik niet eens een certificaat zetten.

Mijn mening is echter dat je je niet mag aanleren om zo'n melding te negeren. Want als je dit routinematig gaat negeren, doe je het ook als de melding terecht is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 159
  • -Ontvangen: 2336
  • Berichten: 15.010
Re: Firefox 51 geeft een http inlog als onveilig aan.
« Reactie #5 Gepost op: 31 maart 2018, 21:50:40 »
Ik merk dat de "Niet veilig" melding bij de nieuwe Safari wel weg blijft als ik via IP adres inlog i.p.v. een locale domeinnaam.

Apple maakt dus wel een uitzondering voor private adressen maar doet bij domeinen geen lookup om te zien of die naam ook lokaal is. Er is beter over nagedacht dan bij Firefox of Chrome, maar nog niet genoeg.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

Firefox vindt Photo-station, zet site-naam in tabblad maar laad de pagina niet.

Gestart door Jos van ZantenBoard Photo Station / Photos

Reacties: 7
Gelezen: 1693
Laatste bericht 11 juni 2016, 13:25:07
door Jos van Zanten
[Opgelost] Update voor Plex Media Server - wel in FireFox, niet op NAS?

Gestart door m4v3r1ckBoard Plex Media Server

Reacties: 18
Gelezen: 5019
Laatste bericht 17 augustus 2018, 17:16:35
door Birdy
Website icm firefox 2.0.12

Gestart door wontcachmeBoard The lounge

Reacties: 8
Gelezen: 5018
Laatste bericht 29 maart 2008, 12:48:41
door wontcachme
DSM in Firefox niet meer te openen

Gestart door BobdroidBoard Netwerk algemeen

Reacties: 3
Gelezen: 590
Laatste bericht 27 september 2019, 21:25:56
door Bobdroid
Firefox crasht bij FileManager i.c.m. Java 6u19

Gestart door KlojumBoard Synology DSM 5.1 en eerder

Reacties: 1
Gelezen: 1566
Laatste bericht 17 april 2010, 19:15:09
door Klojum