Firefox waarschuwt ontwikkelaars voor wachtwoorden over http

[Captain Kirk]

Een speciale editie van Firefox voor webontwikkelaars geeft tegenwoordig een waarschuwing als websites wachtwoorden en gebruikersnaam onbeveiligd via http over het internet sturen. Volgens Mozilla horen websites zorgvuldig met dit soort gegevens om te gaan.

Toch komt het nog regelmatig voor dat er een onbeveiligde verbinding zoals http wordt gebruikt, aldus de opensourceontwikkelaar. Om webontwikkelaars voor dit beveiligings- en privacyprobleem te waarschuwen toont de Firefox Developer Edition voortaan een grijs slot-icoon met een rode streep erdoorheen. Om te kijken of een wachtwoordveld waar gebruikers hun wachtwoord moeten invoeren veilig is kijkt Firefox naar de pagina waar het aan is toegevoegd en of die kwetsbaar is voor man-in-the-middle-aanvallen.

Daarbij is het niet voldoende dat het wachtwoord alleen over https wordt verstuurd, de pagina zelf moet hier ook gebruik van maken. In het geval van een actieve man-in-the-middle-aanval zouden gebruikers bij alleen het versturen van de informatie over https, terwijl de pagina zelf over http wordt geladen, nog steeds risico lopen. Vooralsnog richt Mozilla zich met de waarschuwing op webontwikkelaars, maar gebruikers van andere Firefox-versies kunnen dit wel zelf inschakelen. Hiervoor moet eerst about:config in de adresbalk worden ingevoerd, waarna de optie "security.insecure_password.ui.enabled" moet worden aangepast.

 

 

bron: security.nl