USD 80.97 ЕВРО 94.08

Другие новости

Почему запрет повышает потребление алкоголя. Жесткие меры не работают — психологи

Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года

Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран

Более пяти тысяч участников объединил Moscow Startup Summit

Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»

Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы

Все новости

Google собирается маркировать HTTP-страницы как небезопасные

Экономика

Страницы, не поддерживающие протокол HTTPS, не обеспечивают безопасности данных и пользователям нужно напоминать об этом, утверждает компания.

На веб-сайте Chromium Security, Google выпустила предложение, чтобы пользовательские агенты, такие как веб-браузеры, отмечали все простые веб-страницы HTTP, как небезопасные.

Google занимает напористую и агрессивную позицию за расширение использования SSL/TLS в Интернете и в укрепление этих протоколов. Только в 2014 компания сделала следующее:

•    Ускорила выход на пенсию протокола SSLv3, который небезопасен
•    Стимулировала замену быстро устаревающего алгоритма криптографического хеширования SHA-1 в пользу SHA-2
•    Ввела свои собственные методы проверки отзыва сертификатов (certificate revocation), утверждая, что стандартные методы слабы
•    Они даже предположили, что они будут увеличивать рейтинг в поисковых системах для сайтов, использующих HTTPS

Во всех этих вещах, Google далеко впереди других производителей и большинства клиентов, каждый из которых, как правило, движется очень медленно, когда речь идет об изменениях в основных протоколах.

Точка зрения Google в предложении Chromium бесспорна: HTTP-сайты совсем не обеспечивают безопасность данных. Разве не следует предупредить об этом пользователя? Стоит ввести предупреждение и в других случаях, когда шифрование должно быть, но отсутствует — как в открытых Wi-Fi-сетях. Подход, существующий до сих пор, направлен на подчеркивание положительных отличий SSL-сайтов и EV-SSL-сайтов, но не на обращение внимания на отсутствие безопасности в старом добром HTTP.

Недостатком нового подхода является, наверное, беспокойство для пользователей. Несомненно, большинство веб-страниц работают по HTTP, а не по HTTPS. Это означает, что пользователи начнут получать предупреждения о проблемах безопасности на страницах, которые всегда выглядели нормально. Мы можем сказать, что это для их же собственного блага, но многие пользователи будут путаться и станут беспокоить техническую поддержку по этому поводу.

Если предупреждения безопасности станут слишком распространены, пользователи просто научатся игнорировать их. Google не собирается размещать большое предупреждение (как это бывает с фишинг-сайтами), когда пользователь сталкивается с одной из этих страниц, а пользователи могут не обратить никакого внимания на изменения в адресной строке.
Google делает шаги в правильном направлении, но это слишком большой шаг на сегодня.

Стоит повторить, что это всего лишь пробный шар, а не заявление компании о том, что Google внесет эти изменения в Chrome. Компания ждет обратной связи.