Дек 14, 2014 - 0 Comments - Без рубрики -

Команда Chromium предлагает пометить HTTP-сайты как небезопасные

Команда, отвечающая за безопасность в проекте Chromium, предлагает перейти к явной маркировке HTTP-сайтов как небезопасных. По их мнению, это должно помочь более явно продемонстрировать пользователю, что HTTP-трафик не обеспечивает сохранность передаваемых данных. План по переходу на новую логику браузера Google Chrome будет представлен в 2015 году.

Предупрждение о проблемах с HTTPS

Текущее предупреждение о проблеме с HTTPS

Согласно логике разработчиков, любой браузер или любое другое приложение, работающее по HTTP(S), должно явно уведомлять пользователя о том, что все передаваемые им данные не зашифрованы и могут быть перехвачены посредником.

Сейчас можно выделить три типа соединений с точки зрения шифрования:

  • Безопасное соединение (валидный HTTPS)
  • Сомнительное (валидный HTTPS с HTTP-вставками контента или с минорными TLS-ошибками)
  • Небезопасное (невалидный HTTPS или HTTP)

На данный момент все браузеры явно указывают лишь на статус HTTPS-соединения. В то время как о гарантированно незащищенном соединении через HTTP пользователей вообще не предупреждают.

На данный момент это лишь предложение, и все заинтересованные стороны могут принять участие в его обсуждении. Предлагается следующий план для постепенно перехода:

  1. Небезопасные ресурсы никак не маркируются (сейчас это именно так и работает)
  2. Небезопасные ресурсы маркируются «сомнительными»
  3. Небезопасные ресурсы маркируются «небезопасными»
  4. Безопасные ресурсы больше никак не маркируются

Т.е. в конечном счете, предлагается перейти от маркировки безопасных к маркировке небезопасных. HTTPS-сайты должны в этом случае стать стандартом де-факто. И уже не важно, это сайт Сбербанка или просто Башорг.

Для тех, кто дочитал этот скучный текст, вопрос: «Насколько это важно? Не добавит ли это проблем и расходов для вебмастеров, ведь SSL-сертификаты нынче стоят денег (хотя Mozilla обещает раздавать их бесплатно) и дополнительных ресурсов?».

UPD. Продолжение истории с дизайном предупреждений можно найти здесь.

P.S. Несколько интересных мнений с Хабра:

https

stat


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *