Tým Chrome Security chce označit HTTP stránky za nezabezpečené
16.12.2014, Jan Vítek, aktualita
Tým pracovníků starajících se o zabezpečení prohlížeče Chrome vznesl požadavek na to, aby všechny stránky pracující na protokolu HTTP byly už od nového roku v prohlížeči označené jako nezabezpečené.
Prohlížeč Google Chrome je obecně pokládán za nejlépe zabezpečený, což se často ověřuje na akcích jako Pwn2Own, kde se software testuje na odolnost vůči hackerským pokusům. Za to může i přístup vývojářů starajících se o zabezpečené tohoto prohlížeče, který na rozdíl od jiných neumožňuje instalovat rozšíření z jiných zdrojů než z oficiálního obchodu. Nicméně to bohužel neznamená, že by byl Chrome neprůstřelný a samotnému Googlu to umožňuje mluvit i do funkcí samotných rozšíření. Z tohoto hlediska je Chrome daleko více restriktivní než Android, na němž si můžeme snadno instalovat aplikace ze stažených balíčků .apk se všemi důsledky, které to může mít.
Chrome Security Team nedávno vznesl na stránkách Chromium.org návrh, dle nějž by veškeré stránky využívající protokol HTTP byly v prohlížečích označené jako nezabezpečené (non-secure), a to již od začátku příštího roku. To se může zdát jen jako kosmetická úprava, ale ta by mohla mít pro řadu serverů vážné následky, tedy alespoň dočasně, pokud ono označení začne uživatelům vrtat v hlavě. Tento návrh navíc přichází poté, co Google oznámil, že HTTPS stránky budou v jeho vyhledávacím enginu do jisté míry upřednostňovány.
Nicméně vývojáři prohlížeče Chrome nechtějí být až tak radikální, a tak navrhli čtyřfázový přechod na nový systém označování, který by provozovatelům dal čas pro přechod na HTTPS. Pokud tak neučiní, budou jejich stránky označeny za nezabezpečené, což popravdě skutečně budou. Však protokol HTTP nijak nebrání třetí straně v tom, aby přenášená data volně nesledovala a také není velký problém do nich vložit něco dalšího, třeba malware.
Security Team tak navrhuje čtyři fáze přechodu T0 až T3. T0 představuje dnešní stav, kdy jsou nezabezpečené stránky či zdroje neoznačeny. T1 by je označil za podezřelé, T2 za nezabezpečené a až v T3 by prohlížeč nechal zabezpečené zdroje neoznačeny. To znamená, že by se z HTTPS v podstatě stal standard, takže vedle adresové řádky bychom v takovém případě již neviděli informace o tom, že jsou zabezpečené (typicky to je piktogram visacího zámku). Viděli bychom pouze upozornění na nezabezpečené či jinak problematické stránky. Autoři uvádí, že cílem je, aby bylo protokolem HTTPS zabezpečeno na 85 procent všech stránek.
Zdroj: Chromium.org
Chrome Security Team nedávno vznesl na stránkách Chromium.org návrh, dle nějž by veškeré stránky využívající protokol HTTP byly v prohlížečích označené jako nezabezpečené (non-secure), a to již od začátku příštího roku. To se může zdát jen jako kosmetická úprava, ale ta by mohla mít pro řadu serverů vážné následky, tedy alespoň dočasně, pokud ono označení začne uživatelům vrtat v hlavě. Tento návrh navíc přichází poté, co Google oznámil, že HTTPS stránky budou v jeho vyhledávacím enginu do jisté míry upřednostňovány.
Nicméně vývojáři prohlížeče Chrome nechtějí být až tak radikální, a tak navrhli čtyřfázový přechod na nový systém označování, který by provozovatelům dal čas pro přechod na HTTPS. Pokud tak neučiní, budou jejich stránky označeny za nezabezpečené, což popravdě skutečně budou. Však protokol HTTP nijak nebrání třetí straně v tom, aby přenášená data volně nesledovala a také není velký problém do nich vložit něco dalšího, třeba malware.
Security Team tak navrhuje čtyři fáze přechodu T0 až T3. T0 představuje dnešní stav, kdy jsou nezabezpečené stránky či zdroje neoznačeny. T1 by je označil za podezřelé, T2 za nezabezpečené a až v T3 by prohlížeč nechal zabezpečené zdroje neoznačeny. To znamená, že by se z HTTPS v podstatě stal standard, takže vedle adresové řádky bychom v takovém případě již neviděli informace o tom, že jsou zabezpečené (typicky to je piktogram visacího zámku). Viděli bychom pouze upozornění na nezabezpečené či jinak problematické stránky. Autoři uvádí, že cílem je, aby bylo protokolem HTTPS zabezpečeno na 85 procent všech stránek.
Zdroj: Chromium.org