USD 63.95 ЕВРО 71.13

Google собирается маркировать HTTP-страницы как небезопасные

Экономика

Страницы, не поддерживающие протокол HTTPS, не обеспечивают безопасности данных и пользователям нужно напоминать об этом, утверждает компания.

На веб-сайте Chromium Security, Google выпустила предложение, чтобы пользовательские агенты, такие как веб-браузеры, отмечали все простые веб-страницы HTTP, как небезопасные.

Google занимает напористую и агрессивную позицию за расширение использования SSL/TLS в Интернете и в укрепление этих протоколов. Только в 2014 компания сделала следующее:

•    Ускорила выход на пенсию протокола SSLv3, который небезопасен
•    Стимулировала замену быстро устаревающего алгоритма криптографического хеширования SHA-1 в пользу SHA-2
•    Ввела свои собственные методы проверки отзыва сертификатов (certificate revocation), утверждая, что стандартные методы слабы
•    Они даже предположили, что они будут увеличивать рейтинг в поисковых системах для сайтов, использующих HTTPS

Во всех этих вещах, Google далеко впереди других производителей и большинства клиентов, каждый из которых, как правило, движется очень медленно, когда речь идет об изменениях в основных протоколах.

Точка зрения Google в предложении Chromium бесспорна: HTTP-сайты совсем не обеспечивают безопасность данных. Разве не следует предупредить об этом пользователя? Стоит ввести предупреждение и в других случаях, когда шифрование должно быть, но отсутствует — как в открытых Wi-Fi-сетях. Подход, существующий до сих пор, направлен на подчеркивание положительных отличий SSL-сайтов и EV-SSL-сайтов, но не на обращение внимания на отсутствие безопасности в старом добром HTTP.

Недостатком нового подхода является, наверное, беспокойство для пользователей. Несомненно, большинство веб-страниц работают по HTTP, а не по HTTPS. Это означает, что пользователи начнут получать предупреждения о проблемах безопасности на страницах, которые всегда выглядели нормально. Мы можем сказать, что это для их же собственного блага, но многие пользователи будут путаться и станут беспокоить техническую поддержку по этому поводу.

Если предупреждения безопасности станут слишком распространены, пользователи просто научатся игнорировать их. Google не собирается размещать большое предупреждение (как это бывает с фишинг-сайтами), когда пользователь сталкивается с одной из этих страниц, а пользователи могут не обратить никакого внимания на изменения в адресной строке.
Google делает шаги в правильном направлении, но это слишком большой шаг на сегодня.

Стоит повторить, что это всего лишь пробный шар, а не заявление компании о том, что Google внесет эти изменения в Chrome. Компания ждет обратной связи.