Google gaat onbeveiligde websites aan de schandpaal nagelen

Google wil dat alles online veilig verloopt. Daarom zal je binnenkort in de Chrome browser een slot met een rode "x" zien bij de URL van ongecodeerde websites, om aan te geven dat je op een onveilige website zit.

Met deze veranderingen in Chrome, maakt Google duidelijk dat in de toekomst alles online gecodeerd zou moeten zijn, en dat alle websites via HTTPS verlopen. HTTPS is een extra beveiligde uitbreiding van het gebruikelijke HTTP. Verscheidene bedrijven en organisaties hebben gepleit voor beter beveiligde websites, als onderdeel van de campagne "Encrypt All The Things." Deze campagne probeert websites te overtuigen afstand te doen van het traditionele, onveilige HTTP en te kiezen voor HTTPS.

Op dit moment verschijnt in Chrome een icoon van een witte pagina wanneer je een website bezoekt die niet beveiligd met HTTPS, een groen slot wanneer het wel beveiligd is, en een rood slot met een "x" wanneer er iets mis is met de HTTPS van de pagina die je bezoekt. De verandering zal nog meer aandacht gaan brengen naar sites die mogelijk onveilig zijn.

De internetgigant kondigde dit plan in 2014 al voorzichtig aan, toen een van de leden van het Chrome Security Team een voorstel deed om alle HTTP-websites als "onveilig" te markeren.

"Het doel van dit voorstel is om duidelijker aan gebruikers te laten zien dat HTTP data niet beveiligt," schrijft Chris Palmer van Google.

Dinsdag presenteerde Google het voorstel tijdens de Usenix Enigma veiligheidsconferentie. Dit keer veel grootser en met een kleine preview van hoe het eruit zal gaan zien. (Je kunt een slot met een rode "x" zien in de URL-bar.)

The future. More like this coming down the pike. #enigma2016 pic.twitter.com/7tWt08mQAd
— Chris Palmer (@fugueish) January 26, 2016

Parisa Tabriz, manager van Google's veiligheidsteam, tweette dat Google zal laten zien wat HTTP werkelijk is: "ONVEILIG."

Het idee erachter is dat wanneer HTTP wordt gebruikt, alle data die wordt uitgewisseld tussen een website-server en een gebruiker voor het oprapen ligt. Iedereen die een beetje verstand heeft van websiteconnecties - bijvoorbeeld een hacker in een café, maar ook een onderdrukkende overheid - zou wachtwoorden, privéberichten of andere gevoelige informatie kunnen stelen.

HTTP beveiligt niet alleen gebruikersdata, maar geeft de gebruiker ook de zekerheid dat zij verbonden zijn met de juiste site en niet de site van een bedrieger. Dit is heel belangrijk, want nepwebsites maken is een van de favoriete tactieken van hackers. HTTPS zorgt er ook voor dat een derde partij niet kan inbreken in de verbinding om malware toe te voegen of informatie te achterhalen.

Tech- en privacy experts juichen het plan van Google toe.

"Het is een geweldige zet van Chrome om HTTP gewoonweg te markeren als onveilig, en het behartigt zeker de belangen van de gebruiker," vertelt Eric Mill, een technoloog die met webcodering werkt, aan Motherboard. "Ondanks dat HTTP vandaag de dag nog veel gebruikt wordt, is het wel degelijk onveilig en kan een groot gevaar vormen voor gebruikers en het open internet."

Google liet zijn voorkeur voor HTTPS-websites al blijken toen ze tijdens hun I/O-conferentie in 2014 ervoor pleitten dat HTTPS "overal" op het web wordt gebruikt. Ook kondigden ze aan dat zij beveiligde websites hoger in de zoekresultaten zouden gaan plaatsen. Maar de internetgigant is niet de enige grote speler die HTTPS erdoor probeert te drukken. Mozilla en Apple hebben ook beiden aangegeven dat ze meer webcodering belangrijk vinden. En zelfs de Amerikaanse overheid heeft stappen gezet in die richting, door het plan te maken alle .gov websites (de officiële websites van de overheid) voor het einde van dit jaar via HTTPS te laten verlopen.

Google heeft nog niet aangegeven wanneer zij de HTTP-markering door gaan voeren in Chrome, maar een Google-werknemer vertelde me dat er "binnenkort" een aankondiging zal komen en dat zij hopen dat dit "ooit" een standaardregeling zal worden. De werknemer vroeg anoniem te blijven omdat hij niet bevoegd was met de pers te praten. (Een vertegenwoordiger van Google weigerde commentaar te geven.)

Als je al wilt zien hoe het eruit gaan zien, kun je de markering al aanzetten door "chrome://flags" in je browser te typen en daarna te navigeren naar "markeer onveilig als" en "markeer onveilige websites als onveilig" te selecteren.