De weg naar HTTPS voor Circuits Online
Circuits Online zal in de komende maanden voor de hele site overstappen naar HTTPS. In dit nieuwsbericht lees je waarom we dat doen en hoe we dat aanpakken.
Wat is HTTPS?
HTTP (HyperText Transfer Protocol) is het protocol waarmee webpagina's over internet opgevraagd worden. HTTPS is een variant van dit protocol waarbij de uitwisseling van gegevens beveiligd is. Bij HTTPS is de data die over het netwerk gaat versleuteld en alleen door de browser (jouw computer) en de webserver (de site die je bezoekt) begrijpbaar te maken.
Waarom HTTPS op Circuits Online?
Een man-in-the-middle aanvalBij HTTP is het mogelijk dat een aanvaller de inhoud van het dataverkeer tussen de browser en webserver kan inzien en mogelijk zelfs kan veranderen. Dit heet een man-in-the-middle aanval. Vooral bij openbare Wifi netwerken is het vrij eenvoudig het dataverkeer van andere gebruikers in te zien.
Wanneer je op Circuits Online inlogt, krijg je een cookie, met daarin je sessie. Zo weet de website wie je bent. Bij zo'n man-in-the-middle aanval kan een aanvaller de sessie cookie inzien en zo als jou inloggen, zonder je wachtwoord te hoeven weten. Wanneer de hele site via HTTPS werkt is dit niet mogelijk, omdat het dataverkeer bij HTTPS versleuteld.
Ook het inzien welke informatie je bij een website opvraagt kan veel over jou vertellen. Informatie over je werkgever bijvoorbeeld. Met HTTPS zou een aanvaller wel kunnen zien dat je een website bezoekt en wanneer je dat doet, maar niet welke pagina's je bekijkt of welke gegevens je invult.
In de laatste jaren is er beweging gaande om iedere site naar HTTPS te krijgen. Onder andere Google en de Electronic Frontier Foundation roepen er toe op. Google neemt het ondersteunen van HTTPS ook mee bij de ranking, alhoewel het nu nog geen belangrijk signaal is. Ook de nieuwste versie van HTTP, HTTP/2, werkt (in de praktijk) alleen wanneer de website HTTPS gebruikt.
Uitdagingen
Waarchuwing voor mixed contentCircuits Online gebruikt al een jaar of vijf HTTPS bij gedeeltes van de site: daar waar je wachtwoord wordt verstuurd. Dat was relatief eenvoudig. Om de hele site geschikt te maken voor HTTPS is er een wat grotere uitdaging: mixed content.
Mixed content ontstaat wanneer een beveiligde pagina (via HTTPS) onveilige elementen (die via HTTP komen) bevat. Bij Circuits Online was het lang niet mogelijk om in het forum afbeeldingen en user icons te uploaden. Je moest dus zelf een site vinden om die te uploaden (het Upload Archief bijvoorbeeld), en die plekken zijn bijna nooit via HTTPS te benaderen.
Zonder maatregelen zouden die afbeeldingen dus gezien worden als mixed content. Hoe browsers hiermee omgaan, hangt af van de browser. De meeste browsers laten het toe, maar tonen een uitroepteken bij het slotje in de adresbalk. Andere browsers blokkeren de mixed content of tonen een melding bij het bezoeken van de pagina. In ieder geval: mixed content is een ongewenste situatie.
Om dit op te lossen hebben we een proxy server ingericht die deze afbeeldingen over HTTPS kan sturen. Wanneer in het forum een afbeelding met een niet-HTTPS URL staat, zal deze eerst door onze proxy server worden opgehaald (over HTTP) en daarna via HTTPS naar je browser worden gestuurd. Zo is er geen mixed content. Om te voorkomen dat de afbeeldingen bij ieder bezoek opnieuw gedownload moeten worden, slaan wij gedurende een korte periode de afbeeldingen op onze server op. Door deze oplossing moet het geen probleem meer zijn om HTTPS op Circuits Online toe te passen.
En nu?
De instelling om HTTPS in te schakelenJe kunt vanaf nu in je instellingen aangeven dat je HTTPS voor de hele site wil. Het is de bedoeling dat we zo de komende maanden testen en eventuele feedback kunnen verwerken. Dus zet de optie aan en test met ons mee!
Over een paar maanden zullen we dan voor iedereen HTTPS voor de hele site activeren en zal de optie bij de instellingen weer verdwijnen.
Mocht je feedback of vragen over de werking van HTTPS hebben, neem dan even contact met ons op of plaats het in het topic.
Reacties (4)