Google Chrome сега автоматски се надградува до безбедни врски за сите корисници

 

Google направи значаен чекор кон подобрување на безбедноста на интернетот на Chrome со автоматска надградба на небезбедни HTTP барања на HTTPS барања за 100% од корисниците.

Оваа функција се нарекува  HTTPS-надградби  и ќе ги обезбеди старите врски што го користат http:// со автоматски обид прво да се поврзат со URL-то преку шифрираниот протокол https://.

Ограниченото пуштање во употреба на оваа функција во Google Chrome започна во јули, но од 16-ти октомври, Google сега ја објави на сите корисници на каналот Stable.

„Ги овозможивме HTTPS-надградбите стандардно на багажникот минатата недела и во моментов се пуштаат до 100% стабилни“, се вели во  ажурирањето  од лидерот за управување со инженерската програма на Google, Крис Томпсон.

Што се HTTPS-надградби?

Надградбите на HTTPS е функција на Google Chrome која автоматски ги надградува сите навигации на главната рамка на HTTPS, безбедната верзија на протоколот за пренос на хипертекст, истовремено обезбедувајќи брза резерва на HTTP доколку е потребно.

Историски гледано, прелистувачите честопати правеа несигурни барања за HTTP до сајтови кои беа способни да поддржуваат HTTPS.

Без разлика дали тоа се должи на корисниците кои кликнуваат на старите врски или поради тоа што содржината на веб-локациите не е надградена за да го користи новиот протокол, врските преку протоколот HTTP не се шифрирани и може да се прислушуваат за да се украдат ингеренциите или други чувствителни податоци.

Google вели дека ова може да се случи и со вчитување на HTTP ресурси од:

• Корисник кој навига до локација користејќи HSTS (HTTP Strict Transport Security) за прв пат,
• Пристап до локација што стандардно е HTTPS, но не користи HSTS, или
• Посета на локација која поддржува и HTTPS и HTTP без автоматско пренасочување кон HTTPS.

Во секој случај, приватноста и безбедноста на корисниците се загрозени преку непотребни небезбедни врски. Овој проблем опстојуваше низ различни конфигурации, потенцијално влијаејќи на многу барања.

Постојните методи за спроведување на HTTPS, како што е  списокот со претходно вчитување на HSTS  или рачно подредените списоци за надградба, имаат ограничувања. Тие или вклучуваат сложени и ризични поставки или се грижат за ограничен опсег на локации.

Дополнително, одржувањето ажурирана листа на сајтови поддржани од HTTPS може да биде предизвикувачки и интензивна со пропусен опсег, што често доведува до допирање на застарени информации до корисниците.

Google ги поправа безбедносните проблеми со надградбите на HTTP

Со ова ажурирање, Chrome има за цел автоматски да ги надградува HTTP-врските на страницата до HTTPS, имплементирајќи брз механизам за враќање на HTTP доколку е потребно.

Прелистувачот може исто така да почитува заглавие за откажување, дозволувајќи им на веб-серверите што опслужуваат различна содржина на HTTP и HTTPS да спречат автоматско надградба.

Ова однесување ќе бара модификации на спецификацијата Fetch, особено во врска со надградбата на барањата за навигација во главната рамка и справувањето со мрежните грешки во надградените барања.

Надградбата влијае на различни аспекти на прелистувањето:

• Тоа е ограничено на навигации во главната рамка, со надградби на подресурси регулирани со постоечките политики за мешана содржина.
• Навигациите иницирани преку лентата за URL или JavaScript се подобни за надградби.
• Надградбата влијае само на немоќните барања како GET, усогласувајќи се со тековните политики за мешана содржина за формулари на надградените страници.
• Пренасочувањата кон HTTP од почетните HTTPS навигации се исто така надградени.

Иако оваа автоматска надградба не ги спречува намалувањата, таа нуди не помалку безбедност од сегашната норма.

Ја ограничува изложеноста на пасивни напаѓачи, иако активните напаѓачи би можеле да го попречат процесот на надградба. Поважно, оваа промена може да ја намали мотивацијата на програмерите да ги поправат референците на HTTP.

Сепак, имајќи го предвид актуелниот тренд на означување на страниците на HTTP како „Небезбедни“, оваа надградба е проактивна мерка за заштита на корисниците, особено на локациите за кои веројатно нема да се ажурираат на HTTPS.

Извор: (bleepingcomputer.com)