In versie 79 van de webbrowser Google Chrome heeft de techgigant de optie om 'https' en het www-subdomein standaard te tonen in de adresbalk verborgen. Daardoor is het minder makkelijk om in één oogopslag te zien of je een website via een beveiligde verbinding benadert.
Google heeft deze wijziging vorig jaar ook al eens doorgevoerd in een eerdere update, maar dit besluit werd na kritiek teruggedraaid. Tegenstanders meenden dat het door de ingreep voor een aanvaller met kwade bedoelingen makkelijker werd gemaakt om zich als het hoofddomein voor te doen. Nu blijkt dat het terugdraaien van deze maatregel slechts tijdelijk was.
Concreet betekent de wijziging het volgende. Wordt de https-prefix en het volgens Google 'triviale subdomein' www niet standaard getoond in de adresbalk, dan ziet een gebruiker op het eerste gezicht geen verschil tussen bijvoorbeeld https://www.voorbeeld-opgelicht.nl en https://m.voorbeeld-opgelicht.nl. In beide gevallen wordt slechts voorbeeld-opgelicht.nl getoond, terwijl beide hyperlinks in theorie naar verschillende pagina's kunnen leiden.
Staat op één van deze pagina's kwaadaardige code, of andere zaken die niet de bedoeling zijn (malware, een virus, noem maar op)? Dan kan het dus zijn dat je in de eerste instantie helemaal niet doorhebt dat je naar een kwaadaardige pagina wordt geleid.
Oplossing
De oplossing is heel eenvoudig: dubbelklik in de adresbalk om de volledige url te tonen. Dan zie je in één oogopslag of je een website via een beveiligde https-verbinding benadert. Gegevens die over een niet-versleutelde verbinding worden verstuurd, kunnen door kwaadwillenden worden onderschept. Dit is dus met name interessant wanneer er gevoelige gegevens worden verstuurd: inloggegevens, persoonlijke gegevens zoals NAW-gegevens, medische gegevens of andere privacygevoelige informatie en betaalinformatie zoals bankrekeningnummers, creditcardgegevens en bevestigingscodes.
Overigens kun je ook op het slotje links van de adresbalk klikken om te zien of je met een beveiligde verbinding te maken hebt.
Phishing
In versie 79 van Chrome worden websites bij het bezoeken voortaan direct op betrouwbaarheid gecontroleerd. Dit is een maatregel om phishing tegen te gaan. Bezoek je een pagina, dan vergelijkt Google deze met een lijst van bekende en populaire websites die eerder als betrouwbaar zijn aangemerkt. Staat de website die je bezoekt nog niet op deze lijst? Dan onderzoekt Chrome of de website wel te vertrouwen is.
Deze optie staat standaard ingeschakeld, maar kan handmatig worden uitgeschakeld.
Overigens kun je ook de Opgelicht?!-browsertool installeren om een waarschuwing te krijgen. De tool geeft een melding als je via een onversleutelde verbinding probeert om een website te benaderen én wanneer je een website benadert die door ons als verdacht of gevaarlijk is aangemerkt. Je vindt 'm via onderstaande button.
Download de Opgelicht?!-browsertool
Wachtwoord buitgemaakt bij datalek
Ook nieuw is een functie om te controleren of je wachtwoord ooit is buitgemaakt bij een datalek of een hack. De optie Password Checkup voorziet in een functionaliteit die jouw gegevens vergelijkt met een databases met gegevens van eerdere beveiligingslekken.
Google kan je wachtwoord zelf overigens niet achterhalen en geeft desgevraagd aan dat het voor derden onmogelijk is om deze gegevens te onderscheppen. Wel geeft de browser een melding met het dringende advies om je wachtwoord te veranderen als er sprake is van een match.
Bron: Nu.nl / Security.nl