Google Chrome и Mozilla Firefox сделают маркировки о безопасности сайтов более навязчивыми Статьи редакции

Mozilla Firefox в своём последнем обновлении (v.51) уже начала предупреждать о том, что использование некоторых HTTP-соединений небезопасно. Google Chrome выпустит новую версию до конца недели, в ней также появятся предупреждения о незащищённом соединении. Об этом сообщает издание ArsTechnica.

Фото Getty

Маркировка о незащищённом соединении будет появляться на страницах, которые используют протокол HTTP и имеют формы ввода данных. Например, поля для ввода пароля или номера банковской карты. В подобных случаях Chrome будет отдельно предупреждать в адресной строке, что страница небезопасна.

Как сообщает ArsTechnica, протокол HTTP не является безопасным, так как не зашифровывает соединение, это делает доступным «прослушку» действий на таких страницах. Например, когда пользователь сидит через общественную Wi-Fi-сеть.

Многие современные сайты работают через протокол HTTPS, который является дополненной версией обычного HTTP, но в отличие от него передаёт данные в зашифрованном виде. Перехват такой информации бесполезен для злоумышленника, так как ключ к расшифровке находится на удалённом сервере.

Ранее, если подключение к странице производилось через HTTP, браузеры явным образом не предупреждали о том, что такой сайт небезопасен. И в Chrome и в Firefox нужно было нажать на иконку с информацией о подключении в поисковой строке, чтобы узнать об этом. Теперь предупреждения будут более очевидными для пользователей: в Chrome будет написано «небезопасно», а в Firefox появится иконка красного перечёркнутого замка.

Наверху старая версия Chrome, внизу — готовящийся релиз

В сентябре 2016 года инженер по безопасности Chrome Эмили Шехтер (Emily Schehter) сообщала, что пользователи не замечали предупреждений в прошлых версиях.

Исследование показывает, что пользователи не воспринимают отсутствие надписи «надёжный» в строке адреса в качестве предупреждения и при этом закрывают глаза, если их предупреждают слишком часто. В следующих выпусках мы продолжим расширять предупреждения на HTTP-страницах, например, путем маркировки таких страниц как «небезопасных» в режиме инкогнито, где пользователи рассчитывают на большую приватность. В конце концов, мы планируем изменить маркер безопасности HTTP на красный треугольник, который мы используем при ошибочном HTTPS.

Эмили Шехтер, инженер безопасности Chrome

По данным ArsTechnica, следующая версия Firefox будет включать предупреждения каждый раз при вводе пароля на небезопасных сайтах с HTTP-соединением, а Google намерена маркировать абсолютно все страницы с HTTP как небезопасные.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": [], "comments": 42, "likes": 26, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 40294, "is_wide": true, "is_ugc": false, "date": "Thu, 26 Jan 2017 16:26:08 +0300", "is_special": false }
0
42 комментария
Популярные
По порядку
Написать комментарий...
Великий Даниль

Комментарий удален по просьбе пользователя

5
Всемирный томагавк_два

пока нет пруфов насчет снифа https все что написано выше объявляю пиздежом

5
Аналитический алмаз

MITM.

0
Всемирный томагавк_два

хуитм. как это относится к снифу, если тут уже нужна подмена сертификата? ты еще про sslstrip вспомни. на пальцах, если бы https без проблем можно было бы снифать, то хер какой банк бы позволил управлять своими счетами онлайн

0
Аналитический алмаз

Разговор начался с непонятных wi-fi сетей и корпоративных систем безопасности. Я про это если что.

Ты спрашивал пруф – например вот эта система http://www.mfisoft.ru/direction/ib/garda-predpriyatie/

0
Всемирный томагавк_два

пруфов насчет снифа https

вот эта твоя шайтан вундервафля может снифать https? меня терзают смутные сомнения, в частности этот пункт
Собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данных

чтобы оно работало мне придется самому ставить леваковый сертификат и это ну никак не относится к тому что есть способ снифать https трафик

0
Аналитический алмаз

мне придется самому ставить леваковый сертификат

Мы с самого начала про MIMT говорим же.

0
Всемирный томагавк_два

это ты про него говоришь, я вообще-то говорил что https достаточно надежен и его можно использовать абсолютно в любой сети, т.к. доступных способов снифа нет. а митм это просто наебка пользователя, которая заставляет его думать что он использует защищенное соединение. и тут есть большое но, незаметно для пользователя сертификат подменить нельзя, способ расчитан на домохозяек. с таким успехом можно просто сбрасывать соединение на http через sslstrip, вот только при чем тут это?

0
Аналитический алмаз

Разговор начался с непонятных wi-fi сетей и корпоративных систем безопасности. Я про это если что.

Про то, что "https достаточно надежен" … Я и не спорил об этом как бы.

0
Всемирный томагавк_два

промазал, ниже ответил

0
Разумный утюг

Только вот если ты можешь юзера заставить добавить свой сертификат, то не легче ему просто кейлоггер поставить?

В противном случае ничего не получится

0
Разумный утюг

Nope

0
Телевизионный крюк

Блядское выкручивание рук. Теперь даже текстовые страничках нужно переводить в https, чтобы юзеры не шарахались. А потом месяцами ждать переиндексации.

2
Грядущий бокал

Не заметил чтобы перевод на https скащался на переиндексации. По крайней мере у гугла просто в выдаче появилась приставка https рядом с доменом и всё.

0
Телевизионный крюк

Когда у вашего сайта более 100.000 страниц, это очень заметно.

0
Всемирный томагавк_два

Ой, да ладно, как будто https через ненадежную wi-fi сеть от чего-то спасет

Эээ, я тут чего-то не понимаю. Что можно отсниффать в HTTPS на незащищенном вайфае кроме факта соединения с определенным доменом?

Блин, промах. Смотри ответ ниже

Хз. Есть оборудование. Используется в корп системах безопасности. Щас конкретно не вспомню, могу уточнить.

Да, уточни, очень интересно чем можно поломать сертификат нормальной длинны.

пока нет пруфов насчет снифа https все что написано выше объявляю пиздежом

MITM.

Разговор начался с непонятных wi-fi сетей и корпоративных систем безопасности. Я про это если что.

Мдааа. Касательно пиздежа и пруфов ничего не изменилось

1
Заработный волк

Давай я расскажу тебе как делал я. Ставишь сквид на дефолт гейтвее, на нем делаешь подмену сертификата. Юзерам похуй на плашку "ваше соединение не защищено", они тыкают да да далее. В итоге сертификат мой, снифаю что хочу. Конец.

0
Всемирный томагавк_два

давай расскажу тебе как делал я, кидаю файл сиськи.exe с вирусней, юзерам похуй, они запускают. вот только при чем тут эти охуительные истории? заебался уже сам себя цитировать
пока нет пруфов насчет снифа https все что написано выше объявляю пиздежом

1
Заработный волк

Тред не читал, статья про юзеров, я и ответил.

2
Аналитический алмаз

В рамках корпораций / контор всё можно сделать. Пруфы выше.

0
Всемирный томагавк_два

при чем тут твои корпорации, при чем тут митм, если изначально был разговор о
как будто https через ненадежную wi-fi сеть от чего-то спасет

нахуя ты продолжаешь писать вообще не по теме?

0
Аналитический алмаз

Ага, а причем тут это если пост про браузеры? Ага.

0
Экспертный крюк

В рф же нельзя шифровать

0
Газовый каякер

Комментарий удален по просьбе пользователя

0
Былой чувак

Ой, да ладно, как будто https через ненадежную wi-fi сеть от чего-то спасет

0
Лишенный Мурод

А что нет?

0
Любой завод

Да нет, сниффается спокойно. Не так просто, как через http, конечно, но тем не менее.

0
Разумный утюг

Ну вот есть у тебя шифрованый трафик, дальше что?

Я предполагаю, что ты не владеешь своим центром сертификации.

0
Дипломатический пёс_анон

ещё от оборудования зависит, например Cisco будет довольно сложно сниффануть, если соединение через https

–1
Элементарный пришелец

Эээ, я тут чего-то не понимаю. Что можно отсниффать в HTTPS на незащищенном вайфае кроме факта соединения с определенным доменом?

0
Былой чувак

Блин, промах. Смотри ответ ниже

0
Аналитический алмаз

MITM же.

0
Жилищный яд

так https и защищает от MITM

0
Аналитический алмаз

Сорян, но ты путаешь. :)

0
Похожий Даниль

Если будет возможность отключить эти уведомления, то ничего плохого не вижу. Обычным пользователям надо чаще напоминать о безопасности, а то потом начинаются звонки в банки с обвинениями в мошенничестве.
Вот то, что в Firefox отключили возможность установки неподписанных дополнений - это хреново.
А скоро все браузеры перейдут на WebExtensions, и если самые популярные аддоны перепишут, то остальные просто вымрут.

0

Комментарий удален

Былой чувак

Хз. Есть оборудование. Используется в корп системах безопасности. Щас конкретно не вспомню, могу уточнить.

–1
Элементарный пришелец

Да, уточни, очень интересно чем можно поломать сертификат нормальной длинны.

2
Испанский микрофон

Это он про обычную mitm-хуету с подменой сертификата на самоподписанный. Для этого сначала нужно установить собственный корневой сертификат в браузер пользователя, что руководству компании в пределах компании сделать легко, но в диком мире нереально.

1
Элементарный пришелец

Значит человек слабо понимает о чём говорит.

1
Былой чувак

Да, сорян, ошибка вышла. Я читал описание DLP решений, в котором по паре продуктов, подключенных "к контролируемой wi-fi сети" подразумевался "Перехват любого трафика переданного по Wi-FI сети"
По факту одно решение ловит только нешифрованный траф, второе http и взаимодействует с MDM решением на телефоне, третье просто блочит загрузку файлов через сеть (Ну так по крайней мере на сайте GTB указано)
Я как бы с другой стороны к вопросу подхожу как видишь.
Но интересные штуки есть. Infowatch Касперский сделали фемтосоту, которая может писать разговоры. К ней можно приложить ПО по распознованию голоса и товарища майора. Вопрос как им только обойти ФЗ по тайне переписки. Но это уже решаемо.

0
Разумный утюг

Дак эти соты не они сделали, а купить их можно было относительно давно.

0
Былой чувак

ну это да, они же ПО делают

0
Читать все 42 комментария
Обсуждаемое
Новости
ГИБДД перестала штрафовать водителей за превышение средней скорости
Её вычисляли с помощью двух камер, установленных на расстоянии друг от друга.
Интернет
Обсуждение: Как удобнее ориентироваться по карте — по северу или по направлению движения
Одни не понимают, как можно не знать, где находятся стороны света. Другие не понимают, зачем знать, где находится север, когда есть карты с навигаторами.
Новости
Экс-футболист сборной России Дмитрий Хохлов подал в суд на Facebook. Соцсеть считает его фамилию оскорблением украинцев
И удаляет все посты с её упоминанием.
Популярное за три дня
Интернет
Толстый кот Бендер из Австралии требовательно попросил второй завтрак и стал героем мемов русскоязычного тиктока
70-летняя хозяйка кота даже научилась отвечать «spasiba» поклонникам, заполонившим профиль комментариями на русском.
Интернет
Преподаватели в вузах США жалуются: студенты не умеют пользоваться системой папок и скидывают все файлы в одно место
Необычный пример разницы поколений: зумеры настолько привыкли гуглить и искать файлы через поиск, что сохранение проектов в иерархической системе сортировки файлов для них — непонятный пережиток прошлого.
Новости
Bloomberg: сотрудники Google раскритиковали компанию за удаление приложения Навального c «Умным голосованием»
Они сочли это уступкой российским властям.
null