Google Chrome đánh dấu tất cả các trang web không được mã hóa an toàn

Kỹ sư bảo mật Chrome đã đề xuất rằng tất cả các trang web mà không mã hóa lưu lượng truy cập được đánh dấu là không an toàn bởi các trình duyệt. Việc đề xuất, trong đó đã được lưu hành hồi đầu tháng này, sẽ thay đổi đáng kể tín hiệu thị giác trong thanh địa chỉ của trình duyệt, mà bây giờ cho thấy một chỉ-một “khóa” biểu tượng trong một số trường hợp, khi một trang web được mã hóa bằng SSL (Secure Socket Layer) hoặc TLS (Transport layer Security), thay thế của SSL.

Tên miền của các trang web được mở đầu bằng https thay vì http phổ biến hơn. “Chúng tôi, đội ngũ an ninh Chrome, đề nghị các đại lý người sử dụng (UAS) dần dần thay đổi UX của họ để hiển thị nguồn gốc không an toàn như McNamara không an toàn”, các kỹ sư đã nói trong thông điệp lây lan trên một số diễn đàn thảo luận, bao gồm cả dự án Chromimum riêng của Google. “Mục tiêu của đề xuất này là để hiển thị rõ ràng hơn cho người dùng rằng HTTP không cung cấp bảo mật dữ liệu.”

Lập luận của Chrome đã được rằng, không HTTPS và mã hóa SSL / TLS, giao thông giữa các trình duyệt của người dùng và một trang web vốn đã không an toàn. Màn hình hiển thị hình ảnh nên gọi một cách rõ ràng mà ra. “Chúng tôi biết rằng mọi người thường không nhận thức được sự thiếu vắng của một dấu hiệu cảnh báo,” Các kỹ sư của Chrome đã viết. “Tuy nhiên, tình hình duy nhất mà các trình duyệt Web được bảo đảm không để cảnh báo người sử dụng là chính xác khi không có cơ hội bảo vệ:. Khi nguồn gốc được vận chuyển thông qua HTTP”

Nếu các thay đổi được thực hiện, nó sẽ đảo ngược nhiều thập kỷ để lại HTTP hoàn toàn thoải mái, và gắn thẻ chỉ những trang web được mã hóa hoặc có biểu hiện một số loại vấn đề, chẳng hạn như các trang web bị nghi ngờ độc hại. Người sử dụng trình duyệt từ lâu đã được biết để nhìn vào thanh địa chỉ cho các dấu hiệu của mã hóa, không có dấu hiệu của việc thiếu nó. Trong khi Google chưa cho biết chính xác cách thức HTTP địa chỉ sẽ được đánh dấu là không an toàn, nó gợi ý rằng các nhà sản xuất trình duyệt hãy đo, bước-by-step cách tiếp cận trong năm 2015, khi địa chỉ HTTP sẽ bằng cách nào đó lần đầu tiên được đánh dấu là “mơ hồ” và chỉ sau đó được đánh dấu là “không an toàn” với trong trình duyệt cờ. Những người sẽ rất có thể được mã hóa bằng màu sắc hoặc được chỉ định bằng một biểu tượng, thực hiện được sử dụng trong các trình duyệt để peg HTTPS, nhưng chi tiết cụ thể sẽ được để lại cho mỗi nhà phát triển trình duyệt. Tại một số điểm xuống dòng, dấu hiệu cho HTTPS, chẳng hạn như các khóa icon-sẽ biến mất như lưu lượng được mã hóa sẽ được coi như là tiêu chuẩn.

ssl-lock-internet

Ý tưởng của Google có một số hỗ trợ từ Mozilla, nhà phát triển có ý kiến cross-đăng trên diễn đàn thảo luận của mình, mặc dù có những người khác đã chỉ ra vấn đề. “Câu hỏi thực sự quan trọng đối với tôi đây là thời gian,” Richard Barnes, một kỹ sư bảo mật của Mozilla, trong một thông điệp theo dõi cho biết. “Đó là khá nhiều trong số các câu hỏi để triển khai một chỉ số như ngày hôm nay, bởi vì nó sẽ xuất hiện thường xuyên.”Mozilla, Barnes cũng lưu ý, đã ủng hộ Hãy Encrypt, một dự án để cung cấp các chứng chỉ bảo mật miễn phí, làm cho mã hóa có thể cho các trang web nhỏ.

Những chứng chỉ sẽ là quan trọng. Nếu trình duyệt được đánh dấu như HTTP không an toàn, chủ trang web sẽ muốn tránh những lời cảnh báo, sợ họ sẽ xua đuổi khách, và như vậy cần một chứng chỉ để mã hóa lưu lượng truy cập của họ. Đó là mục đích rõ ràng của Google: Các tín hiệu HTTP đề xuất sẽ được thanh để làm cho điều đó xảy ra.

Google đã được tích cực thúc đẩy HTTPS, đặc biệt là trên các thuộc tính riêng của mình, bao gồm cả công cụ tìm kiếm và Gmail, nhưng nó cũng cầm câu lạc bộ khác với đề xuất mới. Trong tháng tám, ví dụ, Google cho biết nó có thể làm giảm thứ hạng tìm kiếm của trang web mà không được mã hóa kết nối với TLS.

Những mảng lớn của Internet sẽ phải di chuyển đến HTTPS để tránh các tín hiệu trình duyệt và shaming công tiêu cực trong khái niệm của Google, như hầu hết các cầu thủ lớn không mã hóa các lĩnh vực chính của họ. Cả microsoft.com cũng không apple.com sử dụng HTTPS, ví dụ, mặc dù các bộ phận làm, bao gồm các cửa hàng trực tuyến của họ và một số dịch vụ của họ, giống như Outlook.com của Microsoft và iCloud của Apple.

2 votes

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>