Теги → https
Быстрый переход

Chrome теперь помечает все незашифрованные сайты как небезопасные

Браузер Chrome от Google, а именно 68-я версия, теперь помечает все сайты без шифрования как небезопасные. Изменение касается всех ресурсов с HTTP, при входе на которые в адресной строке теперь будет отображаться соответствующий значок. Если сайт защищён протоколом HTTPS, то на нём такого значка вы не увидите.

Нововведение, которое Google анонсировала ещё в феврале, — очередная попытка компании достичь как можно более высокой безопасности нахождения в Сети. На страницах ввода данных учётной записи аналогичные предупреждения о небезопасности отображаются с 2016 года, при этом всё более явными становились предупреждения об истёкших сертификатах. В 2014 году калифорнийский гигант начал продвигать HTTPS-сайты в поисковой выдаче, что стало существенным толчком для веб-мастеров.

Google назвала нововведение «вехой развития безопасности Chrome». Стоит отметить, что компания вложила большие средства в исследования, связанные со стандартами шифрования данных в Интернете.

HTTPS представляет собой форму шифрования, при котором соединение между пользователем и сайтом оказывается под защитой. Ресурсы и рекламные сети без шифрования уязвимы ко внедрению вредоносного программного обеспечения, чем часто пользуются киберпреступники.

HTTPS-сертификаты и протоколы широкодоступны, причём зачастую совершенно бесплатно. Поэтому сайтов с шифрованием становится всё больше. Согласно статистике Google, 84 % страниц, загружаемых американскими пользователями Chrome, имеют HTTPS-защиту. В июле 2015 года их было всего 47 %.

В июле Chrome станет помечать все HTTP-сайты как небезопасные

Начиная с июля Chrome станет помечать все HTTP-сайты как небезопасные, сообщила менеджер по безопасности продукта Эмили Шехтер (Emily Schechter). На данный момент при входе на такие ресурсы браузер показывает нейтральную информационную иконку. Но уже в 68-й версии программа начнёт предупреждать пользователей о потенциальной опасности, показывая дополнительное уведомление в адресной строке. HTTPS-сайты Chrome помечает зелёной иконкой с надписью «Защищено».

Google на протяжении нескольких лет пыталась убедить всех в небезопасности использования незащищённых сайтов, но на этот раз решила в буквальном смысле подтолкнуть их вперёд. Поисковая система компании начала понижать ранг незащищённых ресурсов в 2015 году. На следующий год компания добавила в Chrome предупреждение о небезопасности некоторых полей ввода пароля.

По словам разработчиков, всё больше сайтов переходит на HTTPS, поэтому компания и решила сделать такой анонс. 81 из 100 самых популярных сайтов в Интернете по умолчанию используют HTTPS, а большая часть трафика, проходящего через Chrome, зашифрована.

«Основываясь на удивительной скорости перехода сайтов на HTTPS и хороших показателей в этом году, мы можем предположить, что в июле будет достигнут достаточный баланс, чтобы мы могли начать помечать все HTTP-сайты», — заявила Шехтер.

HTTPS-шифрование защищает канал между браузером и сайтом. Так злоумышленник не может повлиять на этот трафик или проследить действия пользователя. Без такого шифрования человек с доступом к роутеру или интернет-провайдер способны перехватить информацию или внедрить вредоносное ПО в посещаемые страницы.

На HTTPS стало гораздо проще перейти благодаря автоматизированным сервисам вроде Let’s Encrypt. Также Google упомянула собственный продукт Lighthouse, который включает инструменты для перевода ресурсов на HTTPS.

К концу года Chrome начнёт помечать HTTP-сайты в режиме инкогнито как небезопасные

Google анонсировала следующий шаг плана, реализация которого приведёт к тому, что все HTTP-сайты в Chrome будут считаться небезопасными. С октября 2017 года все HTTP-страницы в браузере с введёнными данными, а также все HTTP-сайты в режиме инкогнито будут иметь соответствующую пометку.

HTTPS является более защищённой версией протокола HTTP, с помощью которого пользователи подключаются к сайтам. Защита соединений считается необходимой мерой в снижении риска модификации пользовательских данных злоумышленниками. Благодаря HTTPS данные защищены от сторонних лиц, а пользователь может быть уверен, что вошёл на настоящий сайт, а не на копию.

С выходом Chrome 56, который состоялся в январе этого года, HTTP-страницы, которые собирают пароли или данные кредитных карт, в адресной строке стали помечаться как незащищённые. С тех пор пользователи настольной версии браузера стали на 23 процента реже заходить на HTTP-сайты с формами ввода таких данных. В Chrome 62 разработчики Google выведут безопасность на новый уровень. На данный момент самая новая версия Chrome — 58.

Пароли и данные кредитных карт — самая конфиденциальная информация в Интернете. Но в идеале другие пользователи не должны иметь доступ ни к каким данным человека. Поэтому в Chrome 62 при вводе данных на HTTP-сайтах пользователи будет получать сообщение о том, что их действия небезопасны.

Что касается режима инкогнито, то Google уверена, что пользователи «возлагают большие надежды на конфиденциальность». Тем не менее, в этом режиме при входе на HTTP-страницы данные могут быть видны другим людям так же, как и в стандартном режиме. Поэтому при анонимном посещении HTTP-страниц пользователи тоже будут получать предупреждение.

«Когда вы загружаете сайт по протоколу HTTP, кто-то другой может просмотреть или модифицировать сайт, прежде чем вы на него войдёте, — пишет Google. — Исследования показывают, что пользователи не воспринимают отсутствие иконки “защищённости” как предупреждение, но также пользователи начинают игнорировать предупреждения, если они появляются слишком часто. Мы планируем начать помечать HTTP-сайты как небезопасные более ясно и аккуратно, постепенно основываясь на всё более жёстких критериях».

Google рассказала о новых «фишках» Chrome 56

Вслед за выпуском Chrome 55 Stable компания Google заявила о доступности бета-варианта следующей, 56-й версии. Давайте рассмотрим основные нововведения, предложенные разработчиками в этом браузере.

Chrome 56 добавит функцию HTTP Not Secure

Chrome 56 добавит функцию HTTP Not Secure

Одной из ключевых «фишек» стала функция предупреждения «Not secure» для HTTP-сайтов, которые запрашивают пароли и данные о кредитных картах. Ранее Chrome не обозначал HTTP-соединения как небезопасные, но начиная с версии 56 такие сайты будут обозначены специальным значком в адресной панели. Пока что будут затронуты только сайты, затрагивающие важную персональную информацию, но в долгосрочной перспективе Google планирует обозначать все HTTP-сайты как небезопасные.

Поддержка Web Bluetooth API добавлена в Chrome 56

Поддержка Web Bluetooth API добавлена в Chrome 56

Чтобы не получить эту непрезентабельную метку, разработчики сайта должны будут перейти на протокол HTTPS и следовать общим рекомендациям безопасности.

Второе нововведение — поддержка Web Bluetooth. Теперь сайты смогут взаимодействовать с Bluetooth Low Energy-устройствами, используя Web Bluetooth API. Напомним, Web Bluetooth использует GATT-протокол, который позволяет разработчикам соединяться с Bluetooth-устройствами, такими как принтеры или мониторы, при помощи нескольких строчек JavaScript-кода.

Разработчикам будет полезно узнать о добавлении поддержки нового значения CSS-свойства position — sticky. Элемент с position: sticky является относительно позиционированным, но свойство position переходит в fixed в том случае, когда пользователь листает страницу до определённой позиции. Ранее разработчикам приходилось подключать обработчики событий, которые следили за скроллингом, и переключать position с relative в fixed.

Также в новую версию добавлено целый ряд дополнительных функций и возможностей включая Remote Playback API, WebVR API и другие.

Более 50 % страниц в настольной версии Chrome теперь загружается по протоколу HTTPS

Google рассказала о том, что сегодня более половины всех страниц в настольном приложении Chrome загружается по протоколу HTTPS. Интернет-гигант отслеживал частоту HTTPS-соединений с 2015 года через пользователей, согласившихся на предоставление компании своих данных из браузера. Позже Google включила эти данные в свой отчёт о прозрачности. В нём показано, что HTTPS-соединения преобладают в версиях Chrome для Windows, Chrome OS, Linux и macOS. Мобильные устройства в этом плане пока немного отстают, однако если брать только Android, то здесь всё же наблюдается рост с 30 % HTTPS-страниц в 2015 году до 40 % на сегодняшний день.

HTTPS — это протокол передачи данных, ранее использовавшийся в основном такими учреждениями, как, например, банки. Он представляет собой расширение протокола HTTP, однако с более мощной системой шифрования. Такие протоколы используются для проверки подлинности сайтов, обеспечивающей конфиденциальность данных, которыми обмениваются пользователь и сервер. В определённый момент многие крупные компании начали переходить на HTTPS: в Twitter он был по умолчанию активирован в 2012 году, а Wikipedia и поисковик Bing от Microsoft полностью перешли на него в прошлом году.

«По мере того, как оставшаяся часть Сети переходит на HTTPS, мы продолжим работать над тем, чтобы миграция на HTTPS не вызывала никаких сложностей, обеспечивая не только повышенную безопасность, но и другие преимущества», — написала Google. «HTTPS на данный момент даёт лучшую производительность в Сети, а также предоставляет доступ к мощным функциям, повышающим конверсию сайтов, включая как новые функции вроде сервиса офлайн-поддержки и веб-уведомлений, так и существующие функции вроде автозаполнения данных кредитных карт и геолокации HTML5, которые слишком сложны для того, чтобы их можно было использовать по небезопасному HTTP».

Менее года назад Google заявила о том, что начнёт по умолчанию индексировать HTTPS-страницы при наличии их HTTP-эквивалента. Также несколько месяцев назад компания сообщила, что будет автоматически перенаправлять HTTP-запросы, сделанные через поиск Google, по более защищённому протоколу HTTPS.

Браузер Chrome будет помечать все HTTP-соединения как небезопасные

В 56-й версии браузера Chrome, релиз которой запланирован на январь 2017 года, просмотр веб-сайтов станет более безопасным. Любой сайт, передающий пароли и данные кредитных карт по протоколу HTTP, будет помечаться браузером как небезопасный. При этом введение такой меры — лишь первый шаг Google в повышении уровня безопасности при работе с HTTP-сайтами.

Эмили Шехтер (Emily Schechter), член команды Google по безопасности, пишет: «Сейчас Chrome помечает HTTP-соединения нейтральным индикатором. Это не отражает реального недостатка безопасности HTTP-соединений. Когда вы загружаете веб-сайт по HTTP, кто-нибудь другой в сети может просмотреть или модифицировать сайт ещё до того, как вы на него зайдёте».

Google отмечает, что, согласно исследованиям, пользователи не воспринимают отсутствие иконки защищённости как предупредительный сигнал. Более того, люди перестают обращать внимание на предупреждения, который появляются на экране слишком часто. Поэтому компания хочет как можно более аккуратно пометить HTTP-сайты как небезопасные. После выхода 56-й версии программы разработчики начнут расширять функциональность таких предупреждений.

В частности, в Chrome 56 поля для заполнения паролей и данных кредитных карт будут помечаться как небезопасные, если сайт работает через HTTP-соединение. Позже предупреждения начнут отображаться и в режиме инкогнито, в котором необходимость в повышенных мерах безопасности очевидна. В долгосрочной перспективе Google хочет начать помечать все HTTP-страницы как небезопасные, а сам индикатор HTTP-соединения превратить в красный треугольник, который сейчас используется при сбоях работы HTTPS-соединений.

Google активировала механизм защиты HSTS на своём домене

Безопасность становится всё более актуальной в Сети, ведь значительная часть нашей жизни и деятельности связана с интернет-коммуникациями и цифровыми материалами в целом. Поэтому неудивительно, что Google предприняла следующий шаг по защите пользовательских данных на своих службах, активировав механизм защиты HTTP Strict Transport Security (HSTS).

REUTERS/Morris Mac Matzen

REUTERS/Morris Mac Matzen

HSTS заставляет принудительно использовать защищённое соединение через протокол HTTPS. Он передаёт браузеру особый заголовок Strict-Transport-Security для обязательного использования протокола HTTPS даже в случае перехода по ссылкам с явным указанием стандартного незащищённого протокола HTTP.

Большая часть сайтов Google давно использует HTTPS, но применение HSTS позволяет обезопасить пользователей от ошибочного перехода по потенциально небезопасным ссылкам http://, преобразовывая их в более безопасные URL https://. Это особенно актуально для пользователей, мало подкованных в особенностях работы веб-служб.

Google собирается развернуть изменения так скоро, как это возможно, но пока все веб-сервисы компании будут переведены на новую более безопасную политику, пройдёт какое-то время. Сейчас механизм HSTS уже активен на основном домене Google, но вскоре распространится и на прочие домены компании.

Завершилось бета-тестирование проекта бесплатного HTTPS-шифрования Let’s Encrypt

Проект Let’s Encrypt, направленный на подключение бесплатного HTTPS-шифрования к как можно большему количеству сайтов, вышел из стадии бета-тестирования. Инициатива была запущена шесть месяцев назад, предназначена она была для небольших веб-сайтов, которые не могут самостоятельно получить доступ к сертификатам HTTPS.

Автором проекта выступила группа Internet Security Research Group (ISRG), среди спонсоров значатся Mozilla, Cisco, Akamai, IdenTrust, Electronic Frontier Foundation и Google. За полгода проект Let’s Encrypt выпустил более 1,7 миллиона сертификатов, а также позволил более чем 2,4 миллиона доменных имён перейти на HTTPS-шифрование. Недавно, напомним, все WordPress-сайты были переведены на HTTPS — абсолютно бесплатно.

Несмотря на то, что цифры эти выглядят впечатляюще, они всё равно — лишь иголка в стоге сена. По состоянию на декабрь 2015 года лишь 40 % просмотренных страниц в Сети были зашифрованы, отметила Mozilla. Компания также добавила, что всего лишь 65 % онлайн-транзакций были защищены протоколом HTTPS.

При использовании незащищённых сайтов может страдать безопасность пользователей. Более того, Google заявила, что она собирается помечать в браузере Chrome такие сайты, тем самым как бы отговаривая пользователей заходить на них.

Впрочем, как выяснила компания Trend Micro, сам сайт Let’s Encrypt уже использовался злоумышленниками для перенаправления пользователей на субдомен с опасным трояном. «Любая технология, предназначенная для благих целей, может быть использована киберпреступниками, и цифровые сертификаты от Let’s Encrypt не являются исключением», — отметила компания. «Пользователи также должны знать, что «защищённый» сайт — это необязательно безопасный сайт, и мы также отмечаем, что лучшая защита против эксплойтов по-прежнему заключается в поддержании актуальности программного обеспечения, что минимизирует число уязвимостей, которые могут быть использованы», — добавила она.

WordPress включила HTTPS-шифрование для всех своих сайтов

Платформа WordPress объявила о добавлении поддержки HTTPS-шифрования на все свои сайты. Касается это как личных доменных имён, так и блогов с доменом wordpress.com. Стоит отметить, что многие социальные сервисы вроде Facebook и Twitter поддерживают вышеуказанный протокол уже довольно давно, однако владельцы сайтов под управлением WordPress с личными доменами до недавнего времени обходились без HTTPS.

В 2014 году поддержка протокола шифрования появилась у поддоменов WordPress — однако ими всё и ограничилось. Трудность заключалась в том, что для перехода на HTTPS разработчикам платформы требовались сертификаты для всех доменных имён.

Благодаря проекту Let’s Encrypt переход на HTTPS-шифрование стал значительно проще и легче. Теперь у каждого сайта на базе WordPress есть свой SSL-сертификат. Примечательно, что Google отдаёт преимущество именно сайтам с HTTPS, поэтому сайты на WordPress теперь должны отображаться в результатах поиска выше, чем раньше.

Для перехода на HTTPS администраторам сайтов не нужно совершать никаких лишних телодвижений — весь процесс полностью автоматизирован. 

Атака DROWN опасна для 11 млн сайтов с HTTPS

Многие считают протоколы шифрования панацеей от всех бед, но и в средствах защиты часто находятся «дыры», которые могут использовать злоумышленники. Обнаруженная командой из 15 исследователей уязвимость касается ресурсов, использующих популярнейший протокол HTTPS. Она подвергла опасности более 11 млн веб-сайтов и почтовых сервисов. С помощью найденной бреши в безопасности можно провести атаку (она получила имя DROWN, сокращённо от Decrypting RSA with Obsolete and Weakened eNcryption0) с низкой стоимостью, которая расшифровывает сообщения всего за несколько часов. В некоторых случаях это время даже сокращается до нескольких минут.

Ars Technika

Ars Technika

Предложенная атака работает против коммуникаций с защитой TLS, использующих криптосистему RSA. Уязвимость позволяет атакующему расшифровать TLS-соединение с помощью повторяющихся попыток соединения с сервером по устаревшему протоколу SSLv2. В ходе этого процесса злоумышленник по крупицам собирает информацию о ключе шифрования. Хотя эксперты по безопасности полагали, что исключение поддержки SSLv2 из браузеров и почтовых клиентов позволит избежать подобных ситуаций, некоторые не надлежащим образом сконфигурированные реализации TLS оставляют лазейку для хакеров. Самой известной такой уязвимой реализацией является криптографическая библиотека OpenSSL, для которой было выпущено соответствующее обновление. В стандартных настройках поддержка SSLv2 отключена, но администраторы иногда неосознанно активируют её для оптимизации таких приложений, как Apache, Nginx, Sendmail или Postfix.

Ars Technika

Ars Technika

Сканирование Интернета показало, что более 5,9 млн веб-серверов непосредственно используют SSLv2. Кроме того, не менее 936 тысяч e-mail-серверов с TLS-защитой также поддерживают небезопасный протокол. И это несмотря на настоятельные рекомендации специалистов отключать SSLv2. Даже если сам сервер не поддерживает SSLv2, но пара асимметричных ключей используется на любом другом сервере, который поддерживает SSLv2, то атака возможна.

Так как информация об уязвимости стала публичной, то позаботиться об устранении «дыры» стоит как можно быстрее.

Государство повысит защищённость Рунета

Ресурс «Коммерсантъ» сообщил со ссылкой на источники об обсуждении в администрации президента возможности создания государственного удостоверяющего центра (УЦ) для выдачи сайтам в Рунете SSL-сертификатов. Эти сертификаты используются интернет-магазинами, платёжными системами, государственными ресурсами для шифрования данных и идентификации сайта при установлении защищенного https-соединения.

anthillonline.com

anthillonline.com

Например, государственным сайтом gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компанией Comodo, а порталом ФНС nalog.ru — SSL-сертификат компании Thawte, принадлежащей Symantec. Отзыв сертификатов этими компаниями в случае конфликта с иностранными партнёрами вызовет проблемы с защищённой передачей данных в Рунете.

Предложения по созданию УЦ будут обсуждаться подгруппой «Интернет плюс суверенитет» в рамках рабочей группы «по использованию информационно-телекоммуникационной сети Интернет в отечественной экономике», сформированной в начале февраля решением главы администрации президента Сергея Иванова. Глава Фонда информационной демократии Илья Массух, назначенный руководителем подгруппы, пообещал, что предложения по созданию УЦ будут учитывать мнения экспертов и компаний-разработчиков отечественных браузеров — «Яндекс.Браузер» и «Спутник». 

Профильные чиновники подтвердили «Коммерсанту», что идею создания отечественного УЦ продвигает «Крипто-Про», а в качестве площадки для него рассматривается Технический центр интернет (ТЦИ). В свою очередь коммерческий директор «Крипто-Про» Юрий Маслов заявил, что компания подобного предложения в госструктуры не направляла, хотя чиновники обращались к ней по данному вопросу для консультаций.

Chrome избавится от поддержки протокола SPDY 15 мая

С помощью протокола для передачи веб-контента SPDY компания Google заложила основу для того, что позже стало HTTP/2 — новой версией протокола HTTP, отвечающего за пересылку веб-страниц в браузер. Теперь, когда HTTP/2 стал официальным стандартом, Google готовится избавить браузер Chrome от поддержки SPDY. Произойдёт это 15 мая.

Google сообщила о том, что постепенно начнёт переходить на HTTP/2, ещё примерно год назад, но теперь мы знаем точную дату полного перехода на новый формат. Поэтому если вы используете на своём сервере SPDY, то крайне рекомендуется осуществить переход на протокол нового формата.

По словам Google, 25 % ресурсов в Chrome на сегодняшний день пересылаются по протоколу HTTP/2 и лишь 5 % — по SPDY. Возможно, компания ждала, пока показатель доберётся до 5 %, чтобы сделать анонс.

Более того, 15 мая Chrome перестанет поддерживать расширение TLS-протокола NPN, которое позволяет серверу и браузеру совместно определять, какой протокол им использовать. Его заменит расширение ALPN.

Пользователи, вероятно, не заметят явных изменений. Тем не менее, стоит отметить, что HTTP/2, частично основанный на SPDY, имеет ряд улучшений, ускоряющих соединения между браузером и сервером.

Первому сайту исполнилось 25 лет

По сообщениям интернет-портала Engadget, 20 декабря исполнилось 25 лет самому первому веб-сайту в Интернете — info.cern.ch. Ресурс был запущен 20 декабря 1990 года.

Стоит отметить, что сайт изначально был закрыт для публики и доступен только сотрудникам ЦЕРН (Европейского Совета по ядерным исследованиям). На его страницах можно было получить информацию о проекте World Wide Web, который был создан Тимом Бернерсом-Ли. С помощью WWW предполагалось обмениваться информацией с коллегами и другими пользователями, используя механизм гиперссылок в документах.

Проект «Всемирной Паутины» впервые был представлен Тимом Бернерсом-Ли 12 ноября 1990 года. Стоит отметить, что Бернерс-Ли также принимал участие в изобретении идентификаторов URL, языка HTML и протокола HTTP.

Google теперь будет индексировать HTTPS-страницы

Компания Google запустила индексирование HTTPS-страниц. В компании уже заявили, что будут отдавать приоритет именно защищённым страницам. Если на сайте будет присутствовать HTTP и HTTPS-страница, сразу индексироваться будет последняя.

В Google также отметили, что для корректного индексирования необходимы такие условия:

  • HTTPS-страница не содержит незащищённые элементы;
  • не закрыта от индексации в robots.txt;
  • не перенаправляет пользователей на или через незащищённую HTTP-страницу;
  • не содержит атрибут rel=«canonical» со ссылкой на HTTP-страницу;
  • не содержит метатег noindex robots;
  • не содержит внешних ссылок на HTTP-страницы;
  • карта сайта включает URL в формате HTTPS или не включает HTTP-версию URL;
  • сервер имеет подлинный TLS-сертификат.

Похоже, что этим поисковый гигант намеревается подтолкнуть администраторов ресурсов к переходу на защищённый от перехвата и прослушивания трафика протокол. Как известно, сейчас HTTPS в основном используют банки, платёжные системы и прочие подобные компании, а не так давно на HTTPS перешла Википедия. 

Новые функции Firefox будут работать только на безопасных сайтах

Компания Mozilla сообщила о своем намерении способствовать поэтапному замещению небезопасных сетевых соединений по протоколу HTTP более надежными соединениями формата HTTPS.  Добиваться этого разработчик планирует внедрением особой политики, согласно которой ряд новых функций браузера Firefox будет доступен только на сайтах с повышенной безопасностью.

Ричард Барнс, ведущий специалист Mozilla в области безопасности, написал в корпоративном блоге, что по результатам консультаций с сообществом пользователей компанией было принято решение установить срок, после которого все новые возможности сетевого обозревателя будут доступны только на безопасных сайтах. Он отметил также, что после этого доступ уязвимых сайтов к функциональности браузера будет постепенно ограничиваться, в первую очередь в тех случаях, когда это связано с рисками утечки личных данных и вопросами безопасности.

Впрочем, сообществу ещё предстоит понять, какие именно функции будут ограничены, при этом возможность просмотра небезопасных сайтов сохранится. Тем не менее, доступ к новым возможностям работы с аппаратным обеспечением уязвимые сайты не получат совершенно точно.

Команда разработчиков признаёт, что блокировка некоторых функций браузера на небезопасных сайтах может привести к нарушению их работы, поэтому в компании готовятся тщательно отслеживать ситуацию, с тем чтобы добиться оптимального баланса между надёжностью и безопасностью работы. Стоит отметить, что вышеописанная политика исповедуется создателями Firefox достаточно давно, в результате чего уже сейчас, например, браузер блокирует подозрительным ресурсам постоянный доступ к камере и микрофону.

Soft
Hard
Тренды 🔥