Od lipca 2018 strony wczytywane protokołem HTTP będą niezaufane dla przeglądarki Chrome

15 lutego 2018

Taką zmianę zapowiedziała jakiś czas temu Mozilla, która do swojej przeglądarki Firefox dodała ukryte ustawienie „security.insecure_connection_icon.enabled”. Jest ono dostępne w zaawansowanej konfiguracji „about:config” i ma na celu ostrzegać użytkowników przed wczytywaniem zasobów nieszyfrowanym protokołem — i to nie tylko na stronach zawierających płatności internetowe lub logowanie się do serwisów. Dotyczy to wszystkich witryn i to bez wyjątku. Teraz od lipca 2018 strony wczytywane protokołem HTTP będą niezaufane (niebezpieczne) również dla przeglądarki Google Chrome w wersji 68.

Strony wczytywane protokołem HTTP będą niezaufane

Strony wczytywane protokołem HTTP będą niezaufane

Decyzja zespołu Google podyktowana jest bezpieczeństwem użytkowników. Według podanych informacji na Google Security Blog aż 68% ruchu w przeglądarce Google w systemach Android i Windows jest szyfrowana. W systemie Mac to 78 procent. Z kolei 81 ze 100 najbardziej popularnych witryn internetowych na świecie również używa protokołu HTTPS.

Polityka siłowego wprowadzenia „zielonych kłódek” ma zwolenników i przeciwników. Ci pierwsi powołują się na rzekomo lepszą pozycję w wyszukiwarce, ale tak naprawdę poprawia to tylko ogólną ocenę dla algorytmów Google. Protokół HTTPS daje użytkownikowi pewne „poświadczenie” bezpieczeństwa i zwiększa zaufanie do wydawcy treści lub usługi. Przeciwnicy stosowania certyfikatów SSL wspominają o nieco niższej wydajności stron WWW i niepotrzebnych kosztach, szczególnie na stronach, gdzie wyświetlane są treści niewymagające logowania się. Prawda jest jednak taka, że coraz więcej firm oferuje integrację strony z bezpłatnymi certyfikatami Let’s Encrypt zupełnie za darmo.

W praktyce „zielona kłódka” nie daje 100% bezpieczeństwa, chociaż zapewnia weryfikację domeny i szyfrowanie połączeń. Najpopularniejszym sposobem oszukania użytkownika jest zainfekowanie komputera szkodliwym oprogramowanie, które zainstaluje w systemie certyfikat SSL, ustawi serwer proxy pobierając konfigurację z serwera przestępców i przekieruje ofiarę na łudząco podobną stronę, ale kontrolowaną przez przestępców. Użytkownik bez odpowiedniego zabezpieczenia systemu może nie odróżnić prawdziwej strony od fałszywej. Zdradzić niecne zamiary przestępców może jedynie pasek adresu URL. Ale i przed tym nie zawsze da się ochronić. Przekonał się o tym klient mBanku, który w wyniku ataku man-in-the-browser stracił kilkadziesiąt tysięcy złotych.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA