Другие новости
Российский кардиолог оценила перспективы медицинского сотрудничества Китая и РФ
Вадим Усланов записал песню «Зимняя» на стихи Михаила Гуцериева
Imo запустило новую функцию Light
История, творчество и наука: в какие секции можно записаться в московских парках
Портал «Музейная Москва онлайн» с начала года посетили 1,4 миллиона раз
Одного из лауреатов конкурса «Московская реставрация» определят в «Активном гражданине»
Google собирается маркировать HTTP-страницы как небезопасные
Экономика
Страницы, не поддерживающие протокол HTTPS, не обеспечивают безопасности данных и пользователям нужно напоминать об этом, утверждает компания.
На веб-сайте Chromium Security, Google выпустила предложение, чтобы пользовательские агенты, такие как веб-браузеры, отмечали все простые веб-страницы HTTP, как небезопасные.
Google занимает напористую и агрессивную позицию за расширение использования SSL/TLS в Интернете и в укрепление этих протоколов. Только в 2014 компания сделала следующее:
• Ускорила выход на пенсию протокола SSLv3, который небезопасен
• Стимулировала замену быстро устаревающего алгоритма криптографического хеширования SHA-1 в пользу SHA-2
• Ввела свои собственные методы проверки отзыва сертификатов (certificate revocation), утверждая, что стандартные методы слабы
• Они даже предположили, что они будут увеличивать рейтинг в поисковых системах для сайтов, использующих HTTPS
Во всех этих вещах, Google далеко впереди других производителей и большинства клиентов, каждый из которых, как правило, движется очень медленно, когда речь идет об изменениях в основных протоколах.
Точка зрения Google в предложении Chromium бесспорна: HTTP-сайты совсем не обеспечивают безопасность данных. Разве не следует предупредить об этом пользователя? Стоит ввести предупреждение и в других случаях, когда шифрование должно быть, но отсутствует — как в открытых Wi-Fi-сетях. Подход, существующий до сих пор, направлен на подчеркивание положительных отличий SSL-сайтов и EV-SSL-сайтов, но не на обращение внимания на отсутствие безопасности в старом добром HTTP.
Недостатком нового подхода является, наверное, беспокойство для пользователей. Несомненно, большинство веб-страниц работают по HTTP, а не по HTTPS. Это означает, что пользователи начнут получать предупреждения о проблемах безопасности на страницах, которые всегда выглядели нормально. Мы можем сказать, что это для их же собственного блага, но многие пользователи будут путаться и станут беспокоить техническую поддержку по этому поводу.
Если предупреждения безопасности станут слишком распространены, пользователи просто научатся игнорировать их. Google не собирается размещать большое предупреждение (как это бывает с фишинг-сайтами), когда пользователь сталкивается с одной из этих страниц, а пользователи могут не обратить никакого внимания на изменения в адресной строке.
Google делает шаги в правильном направлении, но это слишком большой шаг на сегодня.
Стоит повторить, что это всего лишь пробный шар, а не заявление компании о том, что Google внесет эти изменения в Chrome. Компания ждет обратной связи.
