16 Февраля, 2016

Google призывает сайты использовать HTTPS

Panda Security в России и СНГ


Вполне вероятно, что Вы неоднократно уже видели небольшой зеленый замочек, который отображается в адресной строке браузера, когда Вы используете Интернет. Эта небольшая иконка обозначает, что сайт, который Вы посетили, является безопасным, т.к. страница сайта использует протокол HTTPS ( Hypertext Transfer Protocol Secure ).

HTTPS шифрует все коммуникации для защиты конфиденциальных данных в Интернете, начиная от имен пользователя до паролей, сообщений или информации о банковской карте. Чтобы это все  работало корректно, крайне важно, чтобы веб-сайты банков или онлайн-магазинов использовали безопасную версию HTTP.

Благодаря протоколу HTTPS система также гарантирует, что любой, кто использует Интернет, сможет получить доступ именно к требуемой веб-странице, а не к ее ложной копии, которая была разработана мошенниками для обмана пользователей и кражи их денег или персональной информации. Данный протокол защищает веб-сайт от посторонних лиц, которые могут пытаться перехватить соединения для установки вредоносной программы.

Google уже долгое время проводит негласную кампанию в поддержку использования HTTPS в надежде, что в конечном итоге все сайты начнут использовать данный безопасный протокол, что может положить конец рискам веб-пользователей, связанных с кражей их данных. Кстати, даже правительство США обеспокоено вопросами использования HTPPS и просит, чтобы все веб-страницы использовали этот безопасный протокол.

Менее чем месяц назад Google объявил , что при индексации сайтов будет отдавать предпочтение сайтам с HTTPS, если они имеют эквивалент в  HTTP. Более того, Google решил предложить новые инструменты для разработчиков, чтобы они могли легко внедрять этот протокол. А теперь они пытаются предать общественности список собственников веб-сайтов, которые не используют данный протокол – проект, который команда по безопасности уже обсуждала на своих форумах в 2014 году.


До сих пор в Chrome отображался красный крестик на сером замке в тех случаях, когда браузер обнаруживал проблемы с сертификатом TSL/SSL у веб-сайта (он гарантирует установку безопасных соединений в Интернете), в результате чего постороннее лицо могло получить доступ к данным пользователя. Бразуер также показывает нам данное предупреждение в том случае, если веб-соединение зашифровано, но при этом Chrome обнаружил набор из последовательности команд (страница, основанная на HTTPS, загружает контент, основанный на HTTP), который также мог бы позволить постороннему лицу заполучить контроль над страницей.

Google планирует отмечать красным крестиком веб-сайты, которые используют протокол HTTP . Париса Табриз, Менеджер проектирования системы безопасности в Chrome, написала в Твиттере, что она планирует выделять такие страницы: « HTTP , мы готовы назвать тебя таким, какой ты есть: НЕБЕЗОПАСНЫЙ!”

Несколько дней назад на конференции по безопасности Usenix Enigma эксперт из CloudFlare показал, как пользователи уже могут настроить, хотят ли они показывать все страницы, использующие протокол HTTP , с красным крестиком. Для этого все, что Вам необходимо сделать, - это открыть chrome://flags и выбрать «mark non-secure as», а затем «mark non-secure origins as non-secure». В этот момент серый замочек будет добавлен в Вашу адресную строку, отображая небезопасные веб-страницы.



Сотрудник Google, который пожелал остаться анонимным, подтвердил, что Chrome включит это оповещение по умолчанию, и заверил, что в ближайшем будущем появится еще больше уведомлений.
Теперь Google предстоит сделать официальное заявление по этому поводу, чтобы пользователи, которые хотят знать статус безопасности страниц, могли вручную выбрать данную опцию.

Что ж, если учесть, что только треть пользователей обращают внимание на предупреждения безопасности в Chrome , сообщающие нам, что кто-то пытается украсть нашу конфиденциальную информацию, то вполне вероятно, что некоторые из них также будут игнорировать красный крестик. В силу этого необходимо, чтобы мы лучше были осведомлены об опасностях, с которыми мы сталкиваемся, оставляя наши данные на небезопасных веб-сайтах.




Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com