HTTPS/nl
HTTPS is een webprotocol dat de vertrouwelijkheid verbetert van communicatie tussen de gebruiker en de server. Met HTTPS ingeschakeld:
- kun je er zeker van zijn dat de informatie die je ziet niet is gewijzigd door een tussenpersoon, zoals een ISP of een overheidssysteem;
- kun je er in redelijkheid vanuit gaan dat niemand weet welke pagina's je bezoekt, en
- kun je er zeker van zijn dat niemand de inhoud van jouw wijzigingen aanpast wanneer ze naar de Wikimedia servers worden overgebracht.
De voortdurende inspanning om de veiligheid en privacy van gebruikers van Wikimedia projecten te verbeteren is een expliciet doel van de Wikimedia Foundation. Deze werkzaamheden zijn opgeschaald in het licht van het spionageschandaal rondom de National Security Agency (NSA) in de VS, dat in de zomer van 2013 door Edward Snowden in de openbaarheid werd gebracht. In verschillende documenten werd aan het Wikipedia-project gerefereerd als een concrete bron om het onlinegedrag van gebruikers in de gaten te houden.[1] Wanneer je bij het browsen gebruik maakt van het onbeveiligde HTTP-protocol kunnen derden volgen welke webpagina's je bezoekt en welke informatie je verzendt.
Wat dit voor jou betekent
editIn aanvulling op de eerdere privacy- en beveiligingsverbeteringen op Wikimedia-sites (zie hieronder), zal de Wikimedia Foundation op woensdag 28 augustus 2013 om 22:00 CEST het gebruik van HTTPS voor alle ingelogde gebruikers standaard inschakelen. Dit werkt vrij eenvoudig: zodra een gebruiker in wil loggen, wordt er automatisch gebruik gemaakt van een HTTPS-verbinding (waardoor gebruikersnaam en wachtwoord veilig blijven). Nadat de gebruiker is ingelogd, blijft deze de HTTPS-verbinding gebruiken.
Lijst van uitgesloten talen
editSommige taalspecifieke projectsites worden bezocht door gebruikers voor wie het gebruik van HTTPS niet eenvoudig is. Op verzoek van deze communities hebben we een lijst opgesteld van uitgesloten talen. Wiki's (waaronder wikipedias, wikisources, etc.) in de volgende talen worden niet omgezet naar HTTPS:
- Chinees (zh.*)
- Perzisch (fa.*)
- Gilaki (glk.*)
- Koerdisch (ku.*)
- Mazanderani (mzn.*)
- Soranî (ckb.*)
We zullen ook experimenteren met GeoIP om gebruikers uit landen waarvan bekend is dat ze HTTPS-verkeer blokkeren om te leiden naar HTTP, terwijl anderen wel gebruik maken van HTTPS (bijvoorbeeld, iemand in IJsland zal in staat zijn om de Chinese Wikipedia over HTTPS te bekijken, terwijl iemand in China de Engelstalige Wikipedia ziet over HTTP).
Uitschakelen
editIs het bekijken van Wikimedia sites over HTTPS voor jou traag of onbetrouwbaar? Dan kun je het gebruik van HTTPS uitschaken in je Voorkeuren. Ga naar het tabblad "Gebruikersprofiel" en zet het vinkje bij "Altijd een veilige verbinding gebruiken wanneer ingelogd" uit. Het inloggen zelf gaat nog steeds over HTTPS.
Help!
editKun je na deze wijziging niet langer inloggen of bewerken op een Wikimedia wiki? Neem dan contact op met het Wikimedia Foundation Operations team op de voor jou handigste manier, zoals de Overlegpagina van dit artikel, op IRC in het #wikimedia-operationsconnectkanaal, of via het https@wikimedia.org mailadres.
Help! Mijn code is stuk!
editBen je beheerder van een bot of auteur van een Gadget en zie je na deze wijziging raar gedrag of werkt de boel niet meer? Hopelijk kun je dat als volgt eenvoudig oplossen.
Voor auteurs van een Gadget zou het eenvoudigweg omzetten van hardgecodeerde urls "http://..." naar "//..." het probleem op moeten lossen (dit worden "protocol relative urls" genoemd).
Voor beheerders van een bot bestaat een aantal alternatieven. Je kunt inloggen als de bot en in de voorkeuren het gebruik van HTTPS voor dat account uitschakelen, of je kunt je code bijwerken zodat deze gebruik maakt van SSL. Maak je gebruik van Pywikipediabot, update dan naar de laatste versie (Meer technische details: [1],[2]) en lees deze mailing list post voor meer informatie.
Geschiedenis van HTTPS bij WMF
editEerste activering in 2005
editHTTPS werd voor het eerst geactiveerd voor de Wikimedia projecten door Brion in december 2005. Dit maakte echter gebruik van speciale URLs van de vorm https://secure.wikimedia.org/wikipedia/nl/wiki/Hoofdpagina
en was tamelijk traag en niet schaalbaar (er was slechts één enkele server voor deze functionaliteit), waardoor het niet geschikt was om door iedereen te worden gebruikt.
Grootschalige uitrol in 2011
editHTTPS met canonieke URLs https://nl.wikipedia.org/wiki/Hoofdpagina
werd in oktober 2011 ingeschakeld, na maanden werk om het op een cachevriendelijke manier te laten werken. Dit betekende dat:
- protocol-relative links gebruikt konden worden om te voorkomen dat twee versies van dezelfde pagina werden gecached;
- servers en caches correct moesten worden opgezet om HTTPS af te handelen;
- alle onderdelen van een pagina via hetzelfde protocol, hetzij HTTP hetzij HTTPS, moesten worden geladen om 'gemengde inhoud' op een pagina te voorkomen (gemengde inhoud ondermijnt de veiligheidsstatus van een pagina)
Deze uitrol van HTTPS is beschreven in Wikimedia engineering rapporten tussen mei 2011 en december 2011.
28 augustus 2013 - Beveiligde log-in, met veilig browsen en bewerken voor ingelogde gebruikers
editConform het plan in de blogpost met de titel "The future of HTTPS on Wikimedia Projects", zal het inloggen vanaf woensdag 28 augustus 22:00 CEST (dat is 13:00 PDT, 20:00 UTC) voor het merendeel van de gebruikers en projecten via HTTPS lopen. (Oorspronkelijk hadden we de uitrol gepland op 21 augustus, maar dit hebben we een week naar achteren geschoven[2]). Ingelogde gebruikers browsen en bewerken standaard via HTTPS.
Verwijzingen
edit- Algemene verwijzingen:
- Wikipedia:Secure server op de Engelstalige Wikipedia
- HTTP Secure (HTTPS) artikel op de Engelstalige Wikipedia
- HTTPS/Discussions: subpagina met onderwerpen rondom HTTPS en eerdere discussies
- Geschiedenis:
- Operations:
Bronnen
edit- ↑ Tweet van Jimmy Wales, zie de verwijzing naar een afbeelding gelekt uit een "top secret" document.
- ↑ "Wikitech-l: HTTPS for logged in users delayed. New date: August 28"