Теги → http
Быстрый переход

В 2021 году многие сайты перестанут работать на Android 7.1 и более старых ОС

На это потребовалось много времени, но большая часть сайтов в Интернете сегодня использует HTTPS для безопасной передачи информации — во многом благодаря усилиям Google. Однако это означает, что доступ к веб-ресурсам может быть ограничен, если на устройстве не установлены надлежащие сертификаты. Именно это произойдёт с относительно старыми смартфонами Android в следующем году.

Let's Encrypt — один из ведущих мировых центров сертификации, причём сертификаты этой группы используют примерно 30 % всех веб-доменов. Когда группа была основана, она подала заявку на включение собственного корневого сертификата ISRG Root X1 во все браузеры и операционные системы. Все сертификаты на сегодняшний день также имеют перекрёстную подпись с корневым сертификатом IdenTrust DST Root X3, который уже много лет используется в Windows, macOS, Android и большинстве других программных платформ.

Первоначальное партнёрство Let's Encrypt с IdenTrust истекает 1 сентября 2021 года, и группа не планирует заключать ещё одно соглашение о перекрёстных подписях. Это означает, что все браузеры и операционные системы без корневого сертификата Let's Encrypt больше не будут работать с сайтами и службами, использующими сертификаты группы. В объявлении указано, что устройства под управлением Android 7.1 или более ранней версии входят в группу уязвимых:

«Однако это вызывает определённые проблемы с совместимостью. Некоторое программное обеспечение, которое не обновлялось с 2016 года, по-прежнему не доверяет нашему корневому сертификату ISRG Root X1. Прежде всего, сюда входят версии Android до 7.1.1. Это означает, что старые версии Android больше не будут доверять сертификатам, выданным Let’s Encrypt».

Несмотря на то, что соглашение не истечёт до сентября следующего года, Let's Encrypt прекратит перекрёстную подпись по умолчанию, начиная с 11 января 2021 года. Для сайтов и служб по-прежнему будет существовать возможность создания сертификатов с перекрёстной подписью, но только до сентября.

Единственный обходной путь для устаревших устройств Android — установить мобильную версию веб-обозревателя Firefox, который использует собственное хранилище сертификатов, включающее корневой ISRG. Однако это не избавит от проблем при работе приложений и других функций вне данного браузера.

Chrome 86 предупредит пользователей о небезопасных формах на HTTPS-страницах

Разработчики из Google продолжают добавлять новые функции в браузер Chrome, включая инструменты, призванные повысить безопасность пользовательских данных во время работы в вебе. Одна из таких функций будет отслеживать так называемые «смешанные формы» заполнения, когда на защищённых HTTPS-страницах размещены формы, не использующие протокол HTTPS для передачи вводимых пользователем данных.

Хотя протокол HTTPS давно получил широкое распространение, HTTP-контент на защищённых страницах всё ещё присутствует. Google работает над исправлением этой ситуации, добавляя в свой браузер функцию, которая предупредит пользователя в случае обнаружения на страницах небезопасных форм. Так называемые «смешанные формы» угрожают безопасности и конфиденциальности данных пользователя. Несмотря на то, что они могут размещаться на HTTPS-страницах, при передаче введённых пользователем данных этот протокол не используется. Данные из таких форм могут быть перехвачены злоумышленниками, поэтому Google борется с этим.

В настоящее время в Chrome исчезает значок замка в адресной строке, если пользователь переходит на страницу со «смешанными формами». По мнению разработчиков, этого недостаточно, поэтому в будущем браузер будет более активно уведомлять об этом. В Chrome 86 будет отключена функция автозаполнения для таких форм, а также появится соответствующее предупреждение. Если же пользователь введёт данные в такую форму и попытается отправить их, то появится предупреждение, предлагающее отменить действие или же согласиться с рисками.

Google рекомендует разработчикам сайтов «полностью перевести формы на своих сайтах на использование протокола HTTPS, чтобы защитить пользователей». Стабильная версия Chrome 86, в которой появится упомянутая функция, должна стать доступна широкому кругу пользователей в октябре этого года.

Вышел браузер Chrome 84 с автоматической блокировкой рекламы на спамерских сайтах

Google выпустила стабильную версию своего браузера Chrome 84, на которую можно перейти через встроенную функцию обновления. Chrome 84 не является крупным этапом обновления, содержит мало изменений в пользовательском интерфейсе и приносит не много пользовательских функций. Вместо этого подавляющее большинство нововведений — это инструменты для разработчиков и сетевые API.

Chrome 84 является первым выпуском Chrome, который блокирует всплывающие уведомления на веб-сайтах, занесенные в список злоупотребляющих этой функцией (то есть спамерских) — подобная возможность уже имеется в Firefox с конца прошлого года и пользуется завидной популярностью.

Также в этом выпуске добавлена поддержка нового Web OTP API — на самом деле, стандарт является детищем Apple, но Google в итоге согласилась его поддержать. Это новая система, с помощью которой мобильные веб-браузеры могут обнаруживать входящие SMS-сообщения, содержащие одноразовые пароли (OTP), отправленные в рамках процедур двухфакторной аутентификации (2FA). Такие пароли автоматически импортируются на страницу, одновременно повышая безопасность и удобство.

Также добавлена поддержка Web Animations API — по сути, это просто набор новых функций JavaScript, которые разработчики могут использовать для гораздо лучшего управления анимацией, которое происходит внутри веб-браузера.

Среди экспериментальных функций, которые добавлены в этом выпуске и могут исчезнуть в будущем, имеется Screen Wake Lock API. Это очень полезная возможность: по словам Google, новый API позволяет предотвратить затемнение или блокировку экрана устройствами, когда работает веб-приложение в браузере Chrome. Веб-сайты должны запрашивать у пользователей разрешение на использование этого API. Это удобно на кулинарных сайтах с пошаговыми инструкциями; веб-сайтах, которые показывают штрих-коды для билетов или другой контент, который необходимо отсканировать; в онлайн-играх, где необязательно постоянное взаимодействие с экраном и так далее.

Idle Detection API — ещё одна экспериментальная функция, добавленная в Chrome 84. Как следует из названия, новый инструмент позволяет владельцам веб-сайтов и разработчикам приложений Chrome определять, когда пользователь бездействует — например, если Chrome обнаруживает отсутствие взаимодействия с клавиатурой, мышью, экраном телефона, включается заставка, экран телефона блокируется или выполняются другие функции. Например, больше веб-сайтов будут использовать этот API-интерфейс для отключения или приостановки нагрузки на процессор для экономии заряда батареи.

Экспериментальный Content Indexing API предоставляет разработчикам список ресурсов, которые Chrome уже закешировал на странице или в веб-приложении. Возможность будет применяться и для улучшения качества просмотра в автономном режиме, позволяя с бо́льшей точностью кешировать содержимое локально и следить за тем, чтобы сайты продолжали работу при отсутствии подключения к Интернету или во время проблем с Сетью.

Chrome 84 также является первой версией браузера, в которой всплывающие уведомления на некоторых сайтах (с репутацией спамерских) теперь даже не выводятся по умолчанию. Всплывающие уведомления на таких ресурсах скрыты под значком в строке URL.

Google удалила поддержку шифрования TLS 1.0 и TLS 1.1, считающегося небезопасным. Веб-сайты, которые загружаются через HTTPS и используют эти два методы кодирования, будут блокироваться в Chrome по умолчанию, а пользователи столкнутся с сообщениями об ошибке. Chrome и другие ключевые браузеры заявили об отказе от TLS 1.0 и TLS 1.1 ещё в 2018 году, поэтому большинство веб-сайтов уже обновили свои сертификаты HTTPS. Тем не менее, всегда есть отстающие ресурсы, так что ошибки вполне могут выдаваться.

Заодно, начиная с Chrome 84, браузер будет отображать предупреждения для файлов, загружаемых через HTTP с сайтов HTTPS. Google называет это «смешанным контентом» и считает опасной практикой, поскольку у пользователей создаётся впечатление, что они загружают файлы через безопасное соединение, а фактическая загрузка идёт через HTTP. Пока это касается только исполняемых файлов, но в будущем распространится и на другие типы потенциально небезопасных ресурсов.

Разумеется, Chrome 84 получил и массу других более мелких функций и исправлений — со всеми можно ознакомиться подробно на официальном сайте.

Вышел браузер Chrome 81 с начальной поддержкой стандарта Web NFC

Браузер Chrome 81, первоначально запланированный на 17 марта и отложенный из-за продолжающейся вспышки коронавируса, наконец вышел. Это версия приносит два крупных новшества: улучшенная поддержка WebXR (технология дополненной реальности Chrome, первоначально добавленная в Chrome 79) и начальная поддержка стандарта Web NFC.

Планировались и другие важные новшества, но они были отложены: редизайн пользовательского интерфейса для элементов веб-форм Chrome пока не готов, а удаление поддержки протоколов шифрования TLS 1.0 и TLS 1.1 отложено до Chrome 84. Решение отложить удаление этих двух протоколов связано с текущей пандемией COVID-19: отсутствие протоколов могло бы воспрепятствовать некоторым пользователям Chrome 81 получить доступ к критически важным государственным медицинским сайтам, которые всё ещё применяют устаревшие TLS 1.0 и 1.1 для своих соединений HTTPS.

Выпуск Chrome 81 — один из самых сложных в истории браузера. Разработчикам не только пришлось перенести целый ряд функций в следующую версию, но и пойти на трёхнедельную задержку запуска этой версии, которая нарушила график регулярных шестинедельных выпусков Google. Поэтому программный гигант сделал первый в своём роде шаг по пропуску Chrome 82 (работа над ним прекращена) — следующей версией станет Chrome 83 — видимо, она тоже выйдет не через 1,5 месяца, а через 2.

Но это не означает, что в версии 81 не хватает новшеств — наиболее важным, безусловно, является новый стандарт Web NFC API. Современные смартфоны уже поддерживают NFC, но конечным пользователям обычно требуется специальное приложение, работающее на их устройстве для взаимодействия с метками NFC, размещёнными в реальном мире. Новый стандарт Web NFC, добавленный в Chrome, позволит веб-сайтам взаимодействовать с метками NFC напрямую, без установки специальных приложений на телефоны.

Google полагает, что новый стандарт Web NFC получит признание среди веб-разработчиков, и ожидает широкого использования, особенно в Chrome для Android, где его можно использовать, в различных сценариях, например:

  • музеи и художественные галереи могут отображать дополнительную информацию на дисплее, когда пользователь прикасается своим смартфоном или планшетом с Chrome к NFC-метке у экспоната;
  • веб-сайты, корпоративные сайты и интрасети, которые управляют запасами компании, смогут считывать или записывать данные в теги NFC на контейнере или продукте, упрощая управление запасами;
  • сайты конференций могут использовать технологию для сканирования беджиков NFC при проведении мероприятий;
  • интрасети и корпоративные сайты могут использовать Web NFC для передачи конфигураций и других данных новым устройствам в организации.

На данный момент эта функция не будет широко доступна для всех пользователей, но уже будет проходить обкатку в реальных условиях. Разработчики получили возможность создавать приложения, основанные на новом стандарте Web NFC, видеть, как они работают, и делиться информацией с командой Chrome перед более широким запуском. Пользователи получат доступ к Web NFC, начиная с Chrome 84.

Несмотря на сохранение TLS 1.0 и TLS 1.1, в Chrome 81 повышается безопасность соединений HTTPS иначе. Chrome 81 — последний этап по удалению смешанного HTTPS-контента из Сети. Смешанный контент HTTPS относится к веб-страницам, на которых материалы вроде изображений, кода JavaScript или таблицы стилей могут загружаться как через HTTP, так и через HTTPS. Начался этот процесс в Chrome 79, а заканчивается в Chrome 81: теперь даже изображения браузер в обязательном порядке будет пытаться загружать через https:// на таких сайтах, блокируя их в случае неудачи.

Подробнее о более мелких изменениях и исправлениях в Chrome 81 можно прочесть на странице в блоге Google. Скачать настольную версию браузера можно с официального сайта, а вариант для Android — с Google Play.

«Лаборатория Касперского» обнаружила инструмент, нарушающий процесс шифрования HTTPS

«Лаборатория Касперского» обнаружила вредоносный инструмент Reductor, который позволяет подменять генератор случайных чисел, использующийся для шифрования данных на этапе их передачи от браузера к HTTPS-сайтам. Это открывает злоумышленникам возможность втайне от пользователя следить за его действиями в браузере. Кроме того, найденные модули имели в своём составе функции удалённого администрирования, что максимально расширяет возможности этого ПО.

С помощью данного инструмента злоумышленники осуществляли операции кибершпионажа за дипломатическими представительствами в странах СНГ, преимущественно следили за трафиком пользователей.

Установка зловреда происходит в основном с помощью вредоносной программы COMPfun, идентифицированной ранее как инструмент кибергруппировки Turla, либо через подмену «чистого» ПО в процессе скачивания с легитимного ресурса на компьютер пользователя. Скорее всего, это означает, что у злоумышленников есть контроль над сетевым каналом жертвы.

«Мы впервые столкнулись с такого рода вредоносной программой, позволяющей обойти шифрование в браузере и долгое время оставаться незамеченной. Уровень её сложности позволяет предположить, что создатели Reductor — серьёзные профессионалы. Часто подобные зловреды создаются при поддержке государства. Однако мы не располагаем доказательствами того, что Reductor имеет отношение к какой-либо конкретной кибергруппировке», — отметил Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

Все решения «Лаборатории Касперского» успешно распознают и блокируют программу Reductor. Чтобы избежать заражения, «Лаборатория Касперского» рекомендует:

  • регулярно проводить аудит безопасности корпоративной IT-инфраструктуры;
  • установить надёжное защитное решение с компонентом защиты от веб-угроз, позволяющим распознавать и блокировать угрозы, которые пытаются проникать в систему через зашифрованные каналы, например Kaspersky Security для бизнеса, а также решение корпоративного уровня, детектирующее сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
  • подключить SOC-команду к системе информирования об угрозах, чтобы у неё был доступ к информации о новых и существующих угрозах, техниках и тактиках, используемых злоумышленниками;
  • регулярно проводить тренинги по повышению цифровой грамотности сотрудников.

Google Chrome будет блокировать «смешанный контент», загружаемый по HTTP

Разработчики из Google стремятся повысить уровень безопасности и конфиденциальности пользователей браузера Chrome. Очередным шагом в этом направлении станет изменение настроек безопасности. В официальном блоге разработчиков появилось сообщение, в котором говорится о том, что в скором времени веб-ресурсы смогут загружать элементы страниц только по протоколу HTTPS, тогда как загрузка по HTTP будет автоматически блокироваться.

По данным Google, в настоящее время до 90 % контента, просматриваемого пользователями Chrome, загружается по HTTPS. Однако во многих случаях просматриваемые страницы загружают по HTTP небезопасные элементы, в том числе изображения, аудио, видео или «смешанный контент». В компании считают, что такой контент может представлять угрозу для пользователей, поэтому браузер Chrome будет блокировать его загрузку.

Начиная с Chrome 79 веб-обозреватель будет осуществлять блокировку всего смешанного контента, но вводиться нововведения будут постепенно. В декабре этого года в Chrome 79 появится новый параметр, позволяющий разблокировать «смешанный контент» на определённых сайтах. В январе 2020 года появится Chrome 80, который будет автоматически преобразовывать все смешанные аудио и видео, загружая их по HTTPS. Если осуществить загрузку этих элементов по HTTPS не удастся, то они будут блокироваться. В феврале 2020 года выйдет Chrome 81, способный автоматически преобразовывать смешанные изображения, а также блокировать их в случае невозможности корректной загрузки.

Когда все изменения вступят в силу, пользователям не придётся задумываться о том, какой протокол используется для загрузки тех или иных элементов на просматриваемых веб-страницах. Постепенное введение изменений даст разработчикам время на то, чтобы сделать весь «смешанный контент» загружаемым по HTTPS.

Chrome теперь помечает все незашифрованные сайты как небезопасные

Браузер Chrome от Google, а именно 68-я версия, теперь помечает все сайты без шифрования как небезопасные. Изменение касается всех ресурсов с HTTP, при входе на которые в адресной строке теперь будет отображаться соответствующий значок. Если сайт защищён протоколом HTTPS, то на нём такого значка вы не увидите.

Нововведение, которое Google анонсировала ещё в феврале, — очередная попытка компании достичь как можно более высокой безопасности нахождения в Сети. На страницах ввода данных учётной записи аналогичные предупреждения о небезопасности отображаются с 2016 года, при этом всё более явными становились предупреждения об истёкших сертификатах. В 2014 году калифорнийский гигант начал продвигать HTTPS-сайты в поисковой выдаче, что стало существенным толчком для веб-мастеров.

Google назвала нововведение «вехой развития безопасности Chrome». Стоит отметить, что компания вложила большие средства в исследования, связанные со стандартами шифрования данных в Интернете.

HTTPS представляет собой форму шифрования, при котором соединение между пользователем и сайтом оказывается под защитой. Ресурсы и рекламные сети без шифрования уязвимы ко внедрению вредоносного программного обеспечения, чем часто пользуются киберпреступники.

HTTPS-сертификаты и протоколы широкодоступны, причём зачастую совершенно бесплатно. Поэтому сайтов с шифрованием становится всё больше. Согласно статистике Google, 84 % страниц, загружаемых американскими пользователями Chrome, имеют HTTPS-защиту. В июле 2015 года их было всего 47 %.

В июле Chrome станет помечать все HTTP-сайты как небезопасные

Начиная с июля Chrome станет помечать все HTTP-сайты как небезопасные, сообщила менеджер по безопасности продукта Эмили Шехтер (Emily Schechter). На данный момент при входе на такие ресурсы браузер показывает нейтральную информационную иконку. Но уже в 68-й версии программа начнёт предупреждать пользователей о потенциальной опасности, показывая дополнительное уведомление в адресной строке. HTTPS-сайты Chrome помечает зелёной иконкой с надписью «Защищено».

Google на протяжении нескольких лет пыталась убедить всех в небезопасности использования незащищённых сайтов, но на этот раз решила в буквальном смысле подтолкнуть их вперёд. Поисковая система компании начала понижать ранг незащищённых ресурсов в 2015 году. На следующий год компания добавила в Chrome предупреждение о небезопасности некоторых полей ввода пароля.

По словам разработчиков, всё больше сайтов переходит на HTTPS, поэтому компания и решила сделать такой анонс. 81 из 100 самых популярных сайтов в Интернете по умолчанию используют HTTPS, а большая часть трафика, проходящего через Chrome, зашифрована.

«Основываясь на удивительной скорости перехода сайтов на HTTPS и хороших показателей в этом году, мы можем предположить, что в июле будет достигнут достаточный баланс, чтобы мы могли начать помечать все HTTP-сайты», — заявила Шехтер.

HTTPS-шифрование защищает канал между браузером и сайтом. Так злоумышленник не может повлиять на этот трафик или проследить действия пользователя. Без такого шифрования человек с доступом к роутеру или интернет-провайдер способны перехватить информацию или внедрить вредоносное ПО в посещаемые страницы.

На HTTPS стало гораздо проще перейти благодаря автоматизированным сервисам вроде Let’s Encrypt. Также Google упомянула собственный продукт Lighthouse, который включает инструменты для перевода ресурсов на HTTPS.

К концу года Chrome начнёт помечать HTTP-сайты в режиме инкогнито как небезопасные

Google анонсировала следующий шаг плана, реализация которого приведёт к тому, что все HTTP-сайты в Chrome будут считаться небезопасными. С октября 2017 года все HTTP-страницы в браузере с введёнными данными, а также все HTTP-сайты в режиме инкогнито будут иметь соответствующую пометку.

HTTPS является более защищённой версией протокола HTTP, с помощью которого пользователи подключаются к сайтам. Защита соединений считается необходимой мерой в снижении риска модификации пользовательских данных злоумышленниками. Благодаря HTTPS данные защищены от сторонних лиц, а пользователь может быть уверен, что вошёл на настоящий сайт, а не на копию.

С выходом Chrome 56, который состоялся в январе этого года, HTTP-страницы, которые собирают пароли или данные кредитных карт, в адресной строке стали помечаться как незащищённые. С тех пор пользователи настольной версии браузера стали на 23 процента реже заходить на HTTP-сайты с формами ввода таких данных. В Chrome 62 разработчики Google выведут безопасность на новый уровень. На данный момент самая новая версия Chrome — 58.

Пароли и данные кредитных карт — самая конфиденциальная информация в Интернете. Но в идеале другие пользователи не должны иметь доступ ни к каким данным человека. Поэтому в Chrome 62 при вводе данных на HTTP-сайтах пользователи будет получать сообщение о том, что их действия небезопасны.

Что касается режима инкогнито, то Google уверена, что пользователи «возлагают большие надежды на конфиденциальность». Тем не менее, в этом режиме при входе на HTTP-страницы данные могут быть видны другим людям так же, как и в стандартном режиме. Поэтому при анонимном посещении HTTP-страниц пользователи тоже будут получать предупреждение.

«Когда вы загружаете сайт по протоколу HTTP, кто-то другой может просмотреть или модифицировать сайт, прежде чем вы на него войдёте, — пишет Google. — Исследования показывают, что пользователи не воспринимают отсутствие иконки “защищённости” как предупреждение, но также пользователи начинают игнорировать предупреждения, если они появляются слишком часто. Мы планируем начать помечать HTTP-сайты как небезопасные более ясно и аккуратно, постепенно основываясь на всё более жёстких критериях».

Google рассказала о новых «фишках» Chrome 56

Вслед за выпуском Chrome 55 Stable компания Google заявила о доступности бета-варианта следующей, 56-й версии. Давайте рассмотрим основные нововведения, предложенные разработчиками в этом браузере.

 Chrome 56 добавит функцию HTTP Not Secure

Chrome 56 добавит функцию HTTP Not Secure

Одной из ключевых «фишек» стала функция предупреждения «Not secure» для HTTP-сайтов, которые запрашивают пароли и данные о кредитных картах. Ранее Chrome не обозначал HTTP-соединения как небезопасные, но начиная с версии 56 такие сайты будут обозначены специальным значком в адресной панели. Пока что будут затронуты только сайты, затрагивающие важную персональную информацию, но в долгосрочной перспективе Google планирует обозначать все HTTP-сайты как небезопасные.

 Поддержка Web Bluetooth API добавлена в Chrome 56

Поддержка Web Bluetooth API добавлена в Chrome 56

Чтобы не получить эту непрезентабельную метку, разработчики сайта должны будут перейти на протокол HTTPS и следовать общим рекомендациям безопасности.

Второе нововведение — поддержка Web Bluetooth. Теперь сайты смогут взаимодействовать с Bluetooth Low Energy-устройствами, используя Web Bluetooth API. Напомним, Web Bluetooth использует GATT-протокол, который позволяет разработчикам соединяться с Bluetooth-устройствами, такими как принтеры или мониторы, при помощи нескольких строчек JavaScript-кода.

Разработчикам будет полезно узнать о добавлении поддержки нового значения CSS-свойства position — sticky. Элемент с position: sticky является относительно позиционированным, но свойство position переходит в fixed в том случае, когда пользователь листает страницу до определённой позиции. Ранее разработчикам приходилось подключать обработчики событий, которые следили за скроллингом, и переключать position с relative в fixed.

Также в новую версию добавлено целый ряд дополнительных функций и возможностей включая Remote Playback API, WebVR API и другие.

Более 50 % страниц в настольной версии Chrome теперь загружается по протоколу HTTPS

Google рассказала о том, что сегодня более половины всех страниц в настольном приложении Chrome загружается по протоколу HTTPS. Интернет-гигант отслеживал частоту HTTPS-соединений с 2015 года через пользователей, согласившихся на предоставление компании своих данных из браузера. Позже Google включила эти данные в свой отчёт о прозрачности. В нём показано, что HTTPS-соединения преобладают в версиях Chrome для Windows, Chrome OS, Linux и macOS. Мобильные устройства в этом плане пока немного отстают, однако если брать только Android, то здесь всё же наблюдается рост с 30 % HTTPS-страниц в 2015 году до 40 % на сегодняшний день.

HTTPS — это протокол передачи данных, ранее использовавшийся в основном такими учреждениями, как, например, банки. Он представляет собой расширение протокола HTTP, однако с более мощной системой шифрования. Такие протоколы используются для проверки подлинности сайтов, обеспечивающей конфиденциальность данных, которыми обмениваются пользователь и сервер. В определённый момент многие крупные компании начали переходить на HTTPS: в Twitter он был по умолчанию активирован в 2012 году, а Wikipedia и поисковик Bing от Microsoft полностью перешли на него в прошлом году.

«По мере того, как оставшаяся часть Сети переходит на HTTPS, мы продолжим работать над тем, чтобы миграция на HTTPS не вызывала никаких сложностей, обеспечивая не только повышенную безопасность, но и другие преимущества», — написала Google. «HTTPS на данный момент даёт лучшую производительность в Сети, а также предоставляет доступ к мощным функциям, повышающим конверсию сайтов, включая как новые функции вроде сервиса офлайн-поддержки и веб-уведомлений, так и существующие функции вроде автозаполнения данных кредитных карт и геолокации HTML5, которые слишком сложны для того, чтобы их можно было использовать по небезопасному HTTP».

Менее года назад Google заявила о том, что начнёт по умолчанию индексировать HTTPS-страницы при наличии их HTTP-эквивалента. Также несколько месяцев назад компания сообщила, что будет автоматически перенаправлять HTTP-запросы, сделанные через поиск Google, по более защищённому протоколу HTTPS.

Браузер Chrome будет помечать все HTTP-соединения как небезопасные

В 56-й версии браузера Chrome, релиз которой запланирован на январь 2017 года, просмотр веб-сайтов станет более безопасным. Любой сайт, передающий пароли и данные кредитных карт по протоколу HTTP, будет помечаться браузером как небезопасный. При этом введение такой меры — лишь первый шаг Google в повышении уровня безопасности при работе с HTTP-сайтами.

Эмили Шехтер (Emily Schechter), член команды Google по безопасности, пишет: «Сейчас Chrome помечает HTTP-соединения нейтральным индикатором. Это не отражает реального недостатка безопасности HTTP-соединений. Когда вы загружаете веб-сайт по HTTP, кто-нибудь другой в сети может просмотреть или модифицировать сайт ещё до того, как вы на него зайдёте».

Google отмечает, что, согласно исследованиям, пользователи не воспринимают отсутствие иконки защищённости как предупредительный сигнал. Более того, люди перестают обращать внимание на предупреждения, который появляются на экране слишком часто. Поэтому компания хочет как можно более аккуратно пометить HTTP-сайты как небезопасные. После выхода 56-й версии программы разработчики начнут расширять функциональность таких предупреждений.

В частности, в Chrome 56 поля для заполнения паролей и данных кредитных карт будут помечаться как небезопасные, если сайт работает через HTTP-соединение. Позже предупреждения начнут отображаться и в режиме инкогнито, в котором необходимость в повышенных мерах безопасности очевидна. В долгосрочной перспективе Google хочет начать помечать все HTTP-страницы как небезопасные, а сам индикатор HTTP-соединения превратить в красный треугольник, который сейчас используется при сбоях работы HTTPS-соединений.

Google активировала механизм защиты HSTS на своём домене

Безопасность становится всё более актуальной в Сети, ведь значительная часть нашей жизни и деятельности связана с интернет-коммуникациями и цифровыми материалами в целом. Поэтому неудивительно, что Google предприняла следующий шаг по защите пользовательских данных на своих службах, активировав механизм защиты HTTP Strict Transport Security (HSTS).

 REUTERS/Morris Mac Matzen

REUTERS/Morris Mac Matzen

HSTS заставляет принудительно использовать защищённое соединение через протокол HTTPS. Он передаёт браузеру особый заголовок Strict-Transport-Security для обязательного использования протокола HTTPS даже в случае перехода по ссылкам с явным указанием стандартного незащищённого протокола HTTP.

Большая часть сайтов Google давно использует HTTPS, но применение HSTS позволяет обезопасить пользователей от ошибочного перехода по потенциально небезопасным ссылкам http://, преобразовывая их в более безопасные URL https://. Это особенно актуально для пользователей, мало подкованных в особенностях работы веб-служб.

Google собирается развернуть изменения так скоро, как это возможно, но пока все веб-сервисы компании будут переведены на новую более безопасную политику, пройдёт какое-то время. Сейчас механизм HSTS уже активен на основном домене Google, но вскоре распространится и на прочие домены компании.

Завершилось бета-тестирование проекта бесплатного HTTPS-шифрования Let’s Encrypt

Проект Let’s Encrypt, направленный на подключение бесплатного HTTPS-шифрования к как можно большему количеству сайтов, вышел из стадии бета-тестирования. Инициатива была запущена шесть месяцев назад, предназначена она была для небольших веб-сайтов, которые не могут самостоятельно получить доступ к сертификатам HTTPS.

Автором проекта выступила группа Internet Security Research Group (ISRG), среди спонсоров значатся Mozilla, Cisco, Akamai, IdenTrust, Electronic Frontier Foundation и Google. За полгода проект Let’s Encrypt выпустил более 1,7 миллиона сертификатов, а также позволил более чем 2,4 миллиона доменных имён перейти на HTTPS-шифрование. Недавно, напомним, все WordPress-сайты были переведены на HTTPS — абсолютно бесплатно.

Несмотря на то, что цифры эти выглядят впечатляюще, они всё равно — лишь иголка в стоге сена. По состоянию на декабрь 2015 года лишь 40 % просмотренных страниц в Сети были зашифрованы, отметила Mozilla. Компания также добавила, что всего лишь 65 % онлайн-транзакций были защищены протоколом HTTPS.

При использовании незащищённых сайтов может страдать безопасность пользователей. Более того, Google заявила, что она собирается помечать в браузере Chrome такие сайты, тем самым как бы отговаривая пользователей заходить на них.

Впрочем, как выяснила компания Trend Micro, сам сайт Let’s Encrypt уже использовался злоумышленниками для перенаправления пользователей на субдомен с опасным трояном. «Любая технология, предназначенная для благих целей, может быть использована киберпреступниками, и цифровые сертификаты от Let’s Encrypt не являются исключением», — отметила компания. «Пользователи также должны знать, что «защищённый» сайт — это необязательно безопасный сайт, и мы также отмечаем, что лучшая защита против эксплойтов по-прежнему заключается в поддержании актуальности программного обеспечения, что минимизирует число уязвимостей, которые могут быть использованы», — добавила она.

WordPress включила HTTPS-шифрование для всех своих сайтов

Платформа WordPress объявила о добавлении поддержки HTTPS-шифрования на все свои сайты. Касается это как личных доменных имён, так и блогов с доменом wordpress.com. Стоит отметить, что многие социальные сервисы вроде Facebook* и Twitter поддерживают вышеуказанный протокол уже довольно давно, однако владельцы сайтов под управлением WordPress с личными доменами до недавнего времени обходились без HTTPS.

В 2014 году поддержка протокола шифрования появилась у поддоменов WordPress — однако ими всё и ограничилось. Трудность заключалась в том, что для перехода на HTTPS разработчикам платформы требовались сертификаты для всех доменных имён.

Благодаря проекту Let’s Encrypt переход на HTTPS-шифрование стал значительно проще и легче. Теперь у каждого сайта на базе WordPress есть свой SSL-сертификат. Примечательно, что Google отдаёт преимущество именно сайтам с HTTPS, поэтому сайты на WordPress теперь должны отображаться в результатах поиска выше, чем раньше.

Для перехода на HTTPS администраторам сайтов не нужно совершать никаких лишних телодвижений — весь процесс полностью автоматизирован.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

window-new
Soft
Hard
Тренды 🔥
Более 35 % атакованных хакерами американских компаний теряют свыше $100 тыс., а 4 % — больше $1 млн 5 ч.
Infinix провела первый мейджор-турнир по Standoff 2 — в гранд-финале победила команда Horizon 7 ч.
В Steam стартовал октябрьский фестиваль «Играм быть» — это сотни демоверсий ожидаемых проектов 7 ч.
YouTube сделала разрешение 4К доступным только платным подписчикам — пока только некоторым 7 ч.
Новым игрокам в Overwatch 2 понадобится свыше $12 тыс. для покупки всех косметических предметов из первой части 8 ч.
Слухи: хронометраж заставочных роликов в God of War Ragnarok будет сопоставим с двумя полнометражными фильмами 8 ч.
Еженедельный чарт Steam: засилье FIFA 23, рекордный взлёт Need for Speed Heat и физическая VR-песочница BONELAB 10 ч.
Минфин РФ захотел деанонимизировать пользователей игровых валют 12 ч.
Роскомнадзор проведёт проверку в связи с утечкой данных клиентов DNS 12 ч.
Видео: оружие и способности проповедника в новом геймплейном трейлере Warhammer 40,000: Darktide 15 ч.
Новая статья: Обзор смартфона Google Pixel 6a: не вспоминай о Nexus 4 ч.
Смартфоны на чипах MediaTek возглавили сентябрьские рейтинги AnTuTu — Dimensity 9000+ обогнал Snapdragon 8+ Gen 1 5 ч.
Выделенных Евросоюзом инвестиций не хватит, чтобы захватить 20 % мирового рынка полупроводников 8 ч.
В начале 2023 года на рынок выйдут мониторы с 27- и 32-дюймовыми OLED-панелями от LG Display 8 ч.
Google может разблокировать контроллеры Stadia — это позволит их использовать на других платформах 9 ч.
Необычная видеокарта XFX Radeon RX 6700 XL с 10 Гбайт памяти показалась на фото 10 ч.
Цены на память DRAM и NAND будут падать вплоть до второй половины 2023 года — производителям придётся сокращать выпуск 10 ч.
Arm-процессоры AWS показали выдающуюся энергоэффективность при тестах в японских 5G-сетях 10 ч.
«Сберавтотех» и «Камаз» заявили, что готовы выпустить беспилотные грузовики на дороги общего пользования, но им пока не разрешают законы 11 ч.
NVIDIA закроет российский офис в этом месяце — сотрудникам предложили релокацию 11 ч.