Сотрудники Chrome Security Team выступили с предложением постепенно изменить дизайн адресной строки в браузерах, чтобы отображать небезопасные соединения (HTTP) как явно небезопасные. В браузере Chrome это планируют реализовать в 2015 году.

Цель: более чётко показывать пользователям, что передача по «голому» HTTP не обеспечивает защиты данных.

Для сравнения, нынешний интерфейс браузеров отображает HTTP как «нейтральное» соединение.

003

004

005

006

По мнению Chrome Security Team, следует реализовать три состояния для безопасности соединений:

  • Безопасный (валидный HTTPS, другие пути вроде (*, localhost, *));
  • Сомнительный (валидный HTTPS, но с подгрузкой сторонних ресурсов, валидный HTTPS с небольшими ошибками TLS);
  • Небезопасный (неработающий HTTPS, HTTP).

Сейчас разработчикам всех браузеров предлагается договориться, как конкретно вводить новый интерфейс адресной строки. Например, это можно делать пошагово. Сначала приравнять HTTP к «сомнительному» соединению. А затем, когда HTTPS будет реализован на большинстве сайтов, уже отображать HTTP как явно небезопасное соединение.

В идеале, браузеры придут к тому, что никак не будут помечать HTTPS, поскольку защищённые соединения станут стандартом.



8 комментариев

  1. 15.12.2014 at 11:59

    Интересно, откуда такая уверенность, что большинство перейдет на https? Мало кто захочет заморачиваться, да еще и платить лишние деньги, за сертификаты, ради ненужной безопасности. Почта, банки и т.д. это понятно, но вот остальные 99% сайтов врядли побегут исправлять все.

    • 15.12.2014 at 12:43

      Вроде бы есть инструкции как это сделать.И они относительно дешевые сейчас стали.

    • 15.12.2014 at 13:15

      Абсолютно согласен. Вот для чего мне читать новости, или различные форумы по защищенному соединению? Даже эту новость нет смысла загонять в https.

    • 15.12.2014 at 13:18

      Скоро же стартанет программа от EFF по раздаче бесплатных сертификатов, нет ?

  2. 15.12.2014 at 12:31

    Когда «][akep» перейдёт на https?

    • 15.12.2014 at 12:59

      В самое ближайшее время, как и обещали. Сертификат уже купили, но сам сертификатор что-то тормозит с выпуском из за юридических формальностей. Потерпите чуть-чуть, уже совсем скоро будет замочек наверху. Это прямо приоритет.

  3. 15.12.2014 at 22:20

    Почему все так этого HTTP боятся?)) нет, если например онлайн оплата, страницы с вводом «особо конфиденциальной» информации (логин, пароль), просмотр почтового ящика — на то оно и HTTPS чтобы обезопасить соединение д̶л̶я̶ ̶с̶п̶е̶ц̶а̶г̶е̶н̶т̶о̶в̶. а как же сайты-визитки, блоги, форумы? их тоже под одну гребенку? че все такими параноиками стали?)

  4. 16.12.2014 at 05:48

    90% (если не больше) пользователей интернета не знает чем http отличается от https и им, по большому счёту, плевать.

Оставить мнение