Mozilla verplicht https voor nieuwe Firefox-features

[Captain Kirk]

Nieuwe webfeatures in Firefox mogen alleen nog via https worden aangeboden, zo heeft browserontwikkelaar Mozilla aangekondigd. De maatregel moet het plan van Mozilla helpen om het onbeveiligde http uit te faseren. "Met onmiddellijke ingang moeten alle nieuwe features die via het web benaderbaar zijn worden beperkt tot secure contexts", aldus Mozilla-engineer Anne van Kesteren.

Het gaat dan om features die vanaf een webpagina of server benaderbaar zijn, bijvoorbeeld via JavaScript, CSS en mediaformaten. Een feature kan van alles zijn, van een extensie van een bestaand object tot een nieuwe CSS-eigenschap of HTTP response header, tot grotere features zoals WebVR. Iedereen die zich namens Mozilla met de ontwikkeling van nieuwe features bezighoudt wordt opgeroepen om alleen beveiligde contexten aan te bevelen.

Volgens Van Kesteren is er wel ruimte voor uitzonderingen, bijvoorbeeld als andere browsers de feature al onbeveiligd aanbieden of als het verplichten van https de implementatie onnodig complex maakt. Features die al verschenen zijn en geen gebruik van https maken, maar vanuit een beveiligings- of privacystandpunt meer problematisch zijn dan anderen, zullen per geval worden bekeken. Om de overstap naar https te vereenvoudigen zal Mozilla ontwikkeltools gaan aanbieden en het mogelijk maken om tests zonder https-server uit te voeren.

 

 

bron: security.nl