Η Google έχει καταλάβει πώς να αναγκάσει τους ιστότοπους να αλλάξουν σε HTTPS

Ενώ η Google συνεχίζει να λαμβάνει μέτρα για να αντικαταστήσει το πρωτόκολλο HTTP, η εταιρεία έχει σκεφτεί πώς να αναγκάσει τους ιστότοπους να αλλάξουν σε πιο ασφαλές HTTPS.

Πριν από λίγα χρόνια, Η Google άρχισε να εξετάζει την υποστήριξη HTTPS κατά την κατάταξη των αποτελεσμάτων αναζήτησης με ευρετηρίαση σελίδων HTTPS από προεπιλογή.

Επειτα, στο πρόγραμμα περιήγησης Chrome (από την έκδοση 68), σελίδες που χρησιμοποιούν το πρωτόκολλο HTTP άρχισαν να επισημαίνονται ως μη ασφαλείς. Τώρα, Η Google είναι έτοιμη να προχωρήσει στο επόμενο στάδιο του σχεδίου λήθης HTTP – ενεργοποιήστε το Chrome για να αποκλείσετε εντελώς το "μικτό" περιεχόμενο.

Το μικτό περιεχόμενο αναφέρεται σε μεμονωμένα στοιχεία σε σελίδες HTTPS που φορτώνονται με μη ασφαλή τρόπο μέσω μιας σύνδεσης HTTP.

«Τα προγράμματα περιήγησης αποκλείουν από προεπιλογή πολλούς τύπους μικτού περιεχομένου, όπως σενάρια και iframes, αλλά εικόνες, εξακολουθεί να είναι δυνατή η λήψη ήχου και βίντεο, που αποτελεί απειλή για το απόρρητο και την ασφάλεια των χρηστών. Για παράδειγμα, ένας εισβολέας θα μπορούσε να τροποποιήσει τη μικτή εικόνα του διαγράμματος μετοχών για να παραπλανήσει τους επενδυτές, ή εισαγάγετε ένα cookie παρακολούθησης στο μικτό περιεχόμενο", – λέει ο επίσημο ιστολόγιο του Chromium.

Επίσης, Η λήψη μικτού περιεχομένου προκαλεί σύγχυση στην ασφάλεια – σε αυτήν την περίπτωση, η σελίδα δεν είναι ασφαλής και ανασφαλής, αλλά κάπου στη μέση. Η Google σκοπεύει να διορθώσει την κατάσταση: Το Chrome θα αποκλείσει από προεπιλογή όλο το μικτό περιεχόμενο. Άμεσα ορίστε ότι η κλειδαριά θα εισαχθεί σταδιακά.

Στην έκδοση του Χρώμιο 79, η κυκλοφορία του οποίου έχει προγραμματιστεί για τον Δεκέμβριο του τρέχοντος έτους, θα είναι δυνατή η κατάργηση του αποκλεισμού μικτού περιεχομένου για έναν συγκεκριμένο ιστότοπο. Αυτή η επιλογή θα ισχύει για μικτά σενάρια, πλαίσια, και άλλους τύπους περιεχομένου που το Chrome αποκλείει ήδη από προεπιλογή.

Θα είναι δυνατή η αφαίρεση της κλειδαριάς πατώντας το εικονίδιο κλειδώματος και επιλέξτε την κατάλληλη επιλογή στις "Ρυθμίσεις τοποθεσίας" (εικόνα παρακάτω).

Η Google αναγκάζει τη μετάβαση σε HTTPS

Χρώμιο 80 (στα πρώτα κανάλια το assembly θα κυκλοφορήσει τον Ιανουάριο 2020) θα αποκλείσει από προεπιλογή τον ήχο και το βίντεο που δεν μπορούν να ληφθούν μέσω HTTPS.

Μπορείτε να αφαιρέσετε την κλειδαριά με τον τρόπο που περιγράφεται παραπάνω. Επιπροσθέτως, στο Chrome 80, κατά τη φόρτωση μικτών εικόνων, μια γραμμή Κύριου πλαισίου θα εμφανίσει μια προειδοποίηση σχετικά με τον πιθανό κίνδυνο της σελίδας. Θα μοιάζει με αυτό:

Η Google αναγκάζει τη μετάβαση σε HTTPS

Αυτό θα έπρεπε να έχει παρακινήσει τους προγραμματιστές να ανανεώσουν τα πιστοποιητικά SSL τους.

Παρεμπιπτόντως, Η Google μιλάει για μεγάλη πρόοδο στη μετάβαση στο HTTPS. Σύμφωνα με την εταιρεία, Οι χρήστες του Chrome ξοδεύουν πλέον περισσότερα από 90% του χρόνου τους βλέποντας έναν ιστότοπο HTTPS σε όλες τις μεγάλες πλατφόρμες.

Διαβάστε επίσης: Το Google Password Manager θα προειδοποιεί τους χρήστες σχετικά με αδύναμους και παραβιασμένους κωδικούς πρόσβασης

Τελικά, Χρώμιο 81 θα αποκλείσει επίσης εικόνες που έχουν ληφθεί μέσω HTTP από προεπιλογή. Η κυκλοφορία του Chrome 81 στα πρώτα υποκαταστήματα έχει προγραμματιστεί για τον Φεβρουάριο 2020.

Για αποφυγή μπλοκαρίσματος, Η Google συμβουλεύει τους προγραμματιστές ιστοτόπων να μεταβούν στο HTTPS το συντομότερο δυνατό. Η εταιρεία παρέχει αρκετούς πόρους στο blog που μπορούν να βοηθήσουν σε αυτό το θέμα.

Αναφορά:

  • Το HTTPS δεν είναι ξεχωριστό πρωτόκολλο. Αυτό είναι απλό HTTP, συμπληρώνεται από κρυπτογράφηση SSL και TLS για ενίσχυση της ασφάλειας.
  • Το HTTPS προστατεύει το κανάλι μεταφοράς δεδομένων μεταξύ του προγράμματος περιήγησης και του ιστότοπου, αποτρέποντας κάθε είδους επιθέσεις, συμπεριλαμβανομένων των επιθέσεων sniffing και των man-in-the-middle επιθέσεων.

Σχετικά με τον Συγγραφέα

Βάλδης Κοκ

Μηχανικός Ασφαλείας, αντίστροφης μηχανικής και εγκληματολογίας μνήμης

Αφήστε ένα σχόλιο