Напоминание: Google повернуть на HTTPS по умолчанию завтра

Напоминание: Google повернуть на HTTPS по умолчанию завтра

Начиная с завтрашнего дня Google Chrome начнет предупреждать пользователей, которые посещают незашифрованные веб-сайты, что их трафик течет в небезопасное место. Это переход, который мы рассмотрели несколько раз уже в этом году, и хотя это может показаться незначительным сдвигом, получение новостей для людей, поэтому они не испуганы переключением с «безопасного» обмена сообщениями на «небезопасные» сообщения важно, тем более, что некоторым сайтам, которые в настоящее время не используют HTTPS, несомненно, потребуется некоторое время, чтобы закончить это.

Сегодня браузеры уведомляют пользователей о безопасности сайтов с помощью логотипа с зеленым замком. После завтрашнего дня пользователям будет сказано, что сайты небезопасны, а не защищены, и уведомляются о различных сообщениях от поставщиков браузеров. Изменение показано ниже:

Напоминание: Google повернуть на HTTPS по умолчанию завтра

Исследователь безопасности Трой Хант работает над сайтом WhyNohttps.com, который он намеревается запустить на этой неделе. Он планирует собрать список крупнейших сайтов, которые не поддерживают HTTPS, но в надежде на то, что они пристыжут к принятию более безопасного стандарта. CloudFlare отметил, что, несмотря на более широкое распространение в последние месяцы, большинство наиболее популярных онлайн-сайтов Top 1M по-прежнему нестабильны и по умолчанию не предлагают HTTPS.

Друзья, я после некоторой поддержки: @Scott_Helme и я делаю небольшой проект с сайтом https://t.co/Y4GlsInvu2, который будет совпадать с запуском Chrome 68 на следующей неделе. В нем будут перечислены крупнейшие в мире веб-сайты, которые по умолчанию не используют HTTPS.

- Трой Хант (@troyhunt) 20 июля 2018 года

Для тех из вас, кто не знает, расширение «https» HTTP означает, что веб-сайт защищен с использованием Transport Layer Security или TLS-шифрования. HTTPS защищает от атак типа «человек-в-середине», подслушивает и подделывает данные веб-сайта. Это функциональность, которую Lenovo сломала со своим скандалом Superfish несколько лет назад, и, как правило, считается основополагающим для всего вопроса о безопасности браузера. И хотя не каждый веб-сайт буквально нуждается в HTTPS, доступность бесплатных сертификатов шифрования из таких групп, как LetsEncrypt (некоммерческая организация, основанная EFF), упрощает принятие стандарта безопасности без выплаты огромных денежных средств для этого.

Chrome - первый браузер, который делает этот шаг с помощью HTTPS, но ожидается, что MS и Mozilla последуют этому примеру. Веб-страница Google об избежании рейтинга «Небезопасно» в Chrome доступна здесь. Хотя несколько датированных (некоторые ссылки на странице с 2016 года), он, как представляется, предлагает некоторую полезную информацию об избежании рейтингов небезопасности, в том числе необходимость использования собственного HTTPS, а не встраивание фрейма регистрации HTTPS на странице HTTP. Поскольку сайт говорит: «В конце концов, Chrome покажет предупреждение« Не безопасно »для всех страниц, обслуживаемых через HTTP, независимо от того, содержит ли страница конфиденциальные поля ввода. Даже если вы примете одно из более целевых разрешений выше, вы должны планировать перенос своего сайта на использование HTTPS для всех страниц ».