iPhone/iPad gebuikers: security-tip!

Sinds iOS en iPadOS versie 18.2 heeft Safari (de standaard webbrowser, het blauwe kompas) een instelling die het openen van websites veiliger maakt, vooral als u van publieke WiFi gebruik maakt (restaurant, trein, hotels etc).

Sla hieronder gerust alle tekst over die u niet interessant lijkt. Maar zet die instelling aan, voor uw eigen bestwil (en doe dat ook bij uw ouders)!

Laatste update iOS/iPadOS
Controleer sowieso regelmatig of uw iPhone of iPad de laatste update geïnstalleerd heeft: open "Instellingen" (het grijze tandwieltje), open "Algemeen" en vervolgens "Software update" (doe dat alleen als u een WiFi-internetverbinding heeft, anders kan het ten koste gaan van uw telefoonrekening).

De laatste versie op dit moment is 18.3.

Nieuwe Safari instelling
Na het updaten en opnieuw opstarten opent u in "Instellingen" onderaan "Apps". Zoek naar "Safari" en open dat.

Scroll het scherm naar boven totdat u het lichtgrijze kopje "PRIVACY EN BEVEILIGING" ziet.

Daaronder zou moeten staan: "Waarschuwing voor onveilige verbindingen" (standaard staat die instelling uit).

Als u dat AAN zet toont Safari u een *waarschuwing* als er (ook tijdelijk) gebruik gemaakt wordt van een verbinding met
http://
in plaats van met
https://

Toelichting
Bij http:// weet u, vooral op een minder vertrouwd netwerk (zoals WiFi in een vliegveld, zie https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/), niet zeker of Safari echt een verbinding heeft met de server waarvan u de website-naam in de adresbalk van Safari ziet.

(Techneuten zeggen "domeinnaam" i.p.v. "website-naam").

Sterker, u kunt http:// vergelijken met wegwijzers die door vandalen in een andere richting kunnen worden gedraaid, waardoor u (als u geen moderne navigatie gebruikt) de verkeerde kant op kunt worden gestuurd.

Risico: omleiding naar nepsite
Vergelijkbaar, bij http:// kan een aanvaller Safari, zonder dat u gewaarschuwd wordt, doorsturen naar een nepwebsite (die als twee druppels op de echte lijkt) - doch met een iets afwijkende (of totaal andere) website-naam. Als die nepwebsite https:// ondersteunt, merkt u *niet* dat Safari naar een andere website is gestuurd dan door u bedoeld.

Waarom https:// wél veilig is
Bij het gebruik van uitsluitend https:// is "omleiden" nagenoeg onmogelijk. Als genoemde Safari-instelling AAN staat, maakt het niets uit of u bijvoorbeeld google.com of http://google.com intikt in de adresbalk: Safari: maakt daar dan automatisch https:// van vóórdat verbinding met de server wordt gemaakt.

Nadeel: thuisapparaten
Nadeel: sommige websites, vooral "smart" apparatuur in uw huis (waaronder de beheer-interface van uw modem, zoals de laatste van Ziggo) ondersteunt https:// vaak niet. Als u bijvoorbeeld http:⧸⧸192.168.178.1 moet openen, zal Safari u waarschuwen *voordat* de verbinding wordt gemaakt. Als u op "Ga verder" drukt, werkt alles als vanouds.

Nadeel: oude sites en "jumpsites"
Een ander voorbeeld zijn stompzinnige "jump sites" zoals http://gemeente.amsterdam (deze ondersteunt uitsluitend http:// en dat is, voor overheden, tegen de wet). Als het *goed* is stuurt bovenstaande link Safari door naar https://amsterdam.nl (die link begint wel met https://).

Risico: als u, op een onvertrouwd netwerk, http://gemeente.amsterdam opent, loopt u het risico dat Safari naar een nepwebsite wordt doorgestuurd, met bijvoorbeeld de naam
gemeenteamsterdam·com
of
amsterdam·top
en u geen enkele foutmelding ziet (en de getoonde pagina als twee druppels op de echte kan lijken). Nb. in die laatste twee websitenamen heb ik de laatste punt vervangen door · (een hoge punt) om onbedoeld openen te voorkómen.

Let op: "Ga verder" = http://
Als u genoemde instelling in Safari aanzet (wat ik 100% aanraad, dit zou m.i. een standaard-instelling moeten zijn in alle browsers), en u krijgt het waarschuwingsscherm te zien (zie het tweede plaatje): als u op "Ga verder" drukt, wordt meteen de onveilige http:// verbinding gemaakt (zonder verdere vragen). Let dan dubbel goed op de vervolgens in de adresbalk van Safari getoonde websitenaam!

Resetten
Als u een http:// verbinding heeft toegestaan (zoals met http://gemeente.amsterdam), onthoudt Safari dat een tijd (ik weet nog niet of dit tijdbegrensd is, waarschijnlijk wel). Als u Safari sluit, door de geopende app van het scherm te vegen, *lijkt* Safari alle toestemmingen te vergeten die u voor http:// verbindingen gegeven heeft.

Desnoods (dit raad ik af) kunt u Safari dwingen om onthouden toestemmingen te verwijderen door de gehele geschiedenis van Safari te wissen. Advies: vóór dat u dat doet, exporteer eerst alle website-data, want onthouden inloggegevens bent u ook kwijt als u de hele browsergeschiedenis wist. Met zo'n export kunt u terug naar de oude situatie door het export-bestand weer te importeren.

Over de plaatjes hieronder
Meer informatie ziet u door op "Alt" in het plaatje te drukken. Het linkerplaatje laat de nieuwe instelling voor Safari zien.
Voor het rechterplaatje heb ik http://http.badssl.com gekozen. Dat heb ik gedaan omdat ik wat wisselende ervaringen had met http://gemeente.amsterdam.

(Voor techneuten: Safari onthoudt onder mij nog onbekende omstandigheden dat het om een jumpsite gaat. In een export van de browsergeschiedenis zag ik in "Geschiedenis.json", onder "http://gemeente.amsterdam" o.a. een regel:
"destination.url" : "https://www.amsterdam.nl" - als de browser dat benut wordt er geen http gebruikt).

Over http://http.badssl.com
De website https://badssl.com bevat allerlei pagina's en sub-website-namen om browsers te testen, en is -voor zover ik weet- betrouwbaar. Niet alles is up-to-date (bijv. het certificaat van https://extended-validation.badssl.com/ is verlopen).

Andere testsites
In plaats van te testen met http://gemeente.amsterdam kunt u ook testen met bijv. http://http.badssl.com en http://www.buitenhoftv.nl.

M.b t. die laatste: als u 2x op more/meer drukt in https://youtube.com/watch?v=WalOiq0mrNw ziet u onder:
"Meer van Buitenhof:
» Vind"
een https:// link naar www.buitenhoftv.nl - maar u wordt belazerd (die jumpsite ondersteunt uitsluitend http). Precies daarom raad ik aan om deze Safari instelling aan te zetten. Ook sommige QR-codes bevatten http-links terwijl de site óók https ondersteunt.

Met enorme dank aan Thomas Bosboom
(@thomasbosboom) die mij op deze instelling wees in https://infosec.exchange/@thomasbosboom/113945617133456130!