Spoločnosť Google začala v rámci svojej snahy pretransformovať celý web na šifrovaný prenos stránok postupne vo svojom webovom prehliadači Chrome stránky prenášané nešifrovaným protokolom HTTP označovať ako nebezpečné.
V aktuálne novej verzii Chrome 53 sa v prípade stránky prenášanej cez HTTP a nie HTTPS objavuje v políčku pre adresu informačná ikona. Po kliknutí na ňu sa objavia ďalšie informácie o stránke vrátane informácie, že pripojenie k tejto stránke nie je bezpečné.
Rovnakú ikonu Chrome používa v prípade zabezpečených stránok, ktoré používajú postupne opúšťané kryptografické algoritmy, napríklad SHA-1.
V januári 2017 vo verzii Chrome 56 začne Chrome ale dokonca priamo v políčku pre adresu uvádzať informáciu, že HTTP stránka nie je bezpečná. Spoločnosť to oznámila vo štvrtok.
Upozorňovanie na HTTP stránky v Chrome 53 a plánované upozorňovanie na stránky s heslami Chrome 56, kliknite pre zväčšenie (obrázok: Google)
Informácia sa najskôr bude ukazovať u stránok, na ktorých užívatelia zadávajú heslá alebo čísla kreditných kariet.
Zároveň Google ale avizuje, že jeho konečným cieľom je všetky HTTP stránky označiť priamo výstražným červeným trojuholníkom rovnako ako HTTPS stránky s konkrétnym bezpečnostným problémom indikujúcim potenciálny útok. Kedy príde k tomuto kroku spoločnosť neinformovala.
Pripravovaný zámer Google uskutočniť takýto krok avizovala na konferencii Usenix Enigma už na začiatku roka spoločnosť CloudFlare. Hoci možnosť zapnúť takéto správanie je prítomná v Chrome už dlhšie, doteraz zapnuté štandardne nebolo a Google oficiálne plán avizuje až teraz.
Finálne plánované upozorňovanie na HTTP stránky v Chrome, kliknite pre zväčšenie (obrázok: Google)
Jeho deklarovým cieľom je pomôcť užívateľom browsovať po webe bezpečne. Zároveň sa dá samozrejme očakávať, že nasadenie týchto zmien donúti prevádzkovateľov stránok prejsť na šifrovanú HTTPS verziu.
Google sa snaží o prechod na HTTPS aj viacerými ďalšími aktivitami, okrem štandardného prístupu na jeho služby cez HTTPS spoločnosť okrem iného už nedovolí prístup na svoj vyhľadávač cez HTTP a vo výsledkoch vyhľadávania zvýhodňuje HTTPS stránky.
HTTPS, pri ktorom je prenos stránok a údajov medzi prehliadačom a webovým serverom šifrovaný protokolom TLS / SSL a útočník zachytávajúci túto dátovú prevádzku ju nevie odšifrovať, je k dispozícii už od roku 1994. Jeho presadzovanie na bežný prístup k stránkam bolo donedávna pomerne pomalé a zintenzívnilo sa najmä po odhaleniach Snowdena o masovom sledovaní verejnosti z roku 2013.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Je nezmyselné,
Od: SeppWinkler
|
Pridané:
9.9.2016 9:49
aby boli všetky stránky na https. Šifrované pripojenie má zmysel len na stránkach, ktoré poskytujú nejaké služby a údaje z komunikácie môžu byť zneužité, nechápem ale, aký význam by malo, aby bolo napr. DSL.sk a podobné spravodajské weby na šifrovanom protokole... Zase G...
|
|
Re: Je nezmyselné,
Od: neiom
|
Pridané:
9.9.2016 9:56
Aj na dsl.sk sa dá prihlásiť a údaje sa prenášajú nešifrovane, keby tu boli len články tak by to taký význam nemalo.
|
|
Re: Je nezmyselné,
Od: SeppWinkler
|
Pridané:
9.9.2016 10:13
Veď áno, prihlásiť sa dá, ale aká škoda hrozí, ak komunikácia nebude šifrovaná? Aj tak tu nikto nepoužíva skutočné údaje a jediné, čo by útočník získal je možnosť zadávať komenty pod menom niekoho iného, čo je fakt výhra :)
|
|
Re: Je nezmyselné,
Od: neiom
|
Pridané:
9.9.2016 10:26
pri registrácii sa zadáva aj email, stačí ak niekto používa tie isté údaje na prihlásenie pre viaceré weby a potenciál zneužitia hneď narastá.
|
|
Re: Je nezmyselné,
Od: jezis ty si jebo
|
Pridané:
9.9.2016 11:42
ze ti utocnik podvrhne clanok,ktory bude riesit napriklad hack hesiel a rovno tam bude policko na overenie tvojej emailovej adresy,ci nebola hacknuta? ludia vy si fakt neuvedomujete nebezpecenstva nesifrovanej komunikacie.browsre uz dnes bezne odmietaju obsah prichadzajuci cez nesifrovane spojenie v urcitych scenaroch.takyto akozeodbornici ako ty ma vedia vytocit.hlavne si absolutne neuvedomujes mozne vektory utoku
|
|
Je zmyselné
Od: syntaxterrorA
|
Pridané:
9.9.2016 18:45
Eventualne, a to je este zakernejsie, utocnik podvrhne clanok,ktory bude mat zmysel.
|
|
Re: Je zmyselné
Od: heho
|
Pridané:
10.9.2016 21:51
to by bolo hned podozrive!
|
|
Re: Je nezmyselné,
Od: puf
|
Pridané:
9.9.2016 15:06
Inak fakt. Ze DSL.sk este stale nepouziva SSL je trapas na eNtu. Hej redakcia, nejaky koment? :)
|
|
Re: Je nezmyselné,
Od reg.: WinstonSmith
|
Pridané:
9.9.2016 10:00
Tak, chcú sa poistiť, že odpočúvať komunikáciu budú môcť len oni..
|
|
Re: Je nezmyselné,
Od: jurooooo
|
Pridané:
9.9.2016 10:18
nesifrovane stranky su potencialne nebezpecne kedze to do nich moze po ceste ktokolvek nieco pridat
iba pri sifrovanom pripojeni mas istotu ze naozaj zobrazujes originalnu stranku tak ako mala byt
|
|
Re: Je nezmyselné,
Od reg.: K-NinetyNine
|
Pridané:
9.9.2016 10:39
boli doby, ked ISP vkladali do navstevovanych stranok vlastnu reklamu :D to s https nehrozi ;-)
|
|
Re: Je nezmyselné,
Od: John D. Bill
|
Pridané:
12.9.2016 9:24
Iba zeby man in the middle. Wait, ISP je presne to :)
|
|
Re: Je nezmyselné,
Od reg.: K-NinetyNine
|
Pridané:
12.9.2016 16:29
Ako ak nema platny certifikat pre danu domenu podpisany certifikacnou autoritou, ktorej tvoj prehliadac doveruje?
|
|
Re: Je nezmyselné,
Od reg.: K-NinetyNine
|
Pridané:
12.9.2016 16:30
ak by sa o nieco take tvoj ISP pokusil, tvoj prehliadac by zareagoval presne takto: https://zemavek.sk/
|
|
Re: Je nezmyselné,
Od reg.: K-NinetyNine
|
Pridané:
9.9.2016 10:37
ma to zmysel aj pri beznom obsahu, kde neprebieha ziadne prihlasovanie, pretoze to zabrani utoku man in the middle.
tuto na dsl.sk, ak sa mi podari ti zmenit dns server, mohol by som ti podhodit clanok "dsl.sk konci, zacnite citat [sem vstunte konkurencnu stranku]".
|
|
Re: Je nezmyselné,
Od: Ddnccjc
|
Pridané:
9.9.2016 10:58
O konci DSL by to bolo smutné, ale stále bezpečné.
Horšie by bolo "Nájdená vzdialene zneužiteľná zraniteľnosť vo všetkých OS, opravu sťahujte tu, tu a tu". A tie tu by to sťahovali priamo z DSL.sk.
Alebo priamo zraniteľnosť zneužitá z webu DSL.sk, teda od útočníkov.
|
|
Re: Je nezmyselné,
Od: meheh
|
Pridané:
9.9.2016 14:46
na dsl.sk to je na to, aby som mal istotu ze citam skutocne dsl.sk a nie nejaku podvrhnutu verziu cez wifi v kancli
|
|
HTTP$$
Od reg.: Jaa 1
|
Pridané:
9.9.2016 9:56
Cize ked budu vsetky stranky so S tak budu na tom rovnako ako ked boli vsetky stranky bez S. Ako sa potom odlisi bezpecnejsia verzia webu od "obycajnej". Alebo zacal novy kolobeh nezmyslu?
|
|
Re: HTTP$$
Od: Neviem-
|
Pridané:
9.9.2016 10:12
Tak toto je asi vrchol diskutérskej logiky, čo som tu videl za poslednú dobu. Mount Everest.
|
|
Re: HTTP$$
Od reg.: Jaa 1
|
Pridané:
9.9.2016 10:45
Na toto tvoje tvrdenie mas urcite aj nejaky dovod. Alebo si stelesnenim svojho nicku?
|
|
Re: HTTP$$
Od: Okres linux
|
Pridané:
9.9.2016 15:08
Hlúpy si jak tágo. Byť tebou, po takom momente, ako si dal na vrchu, by som držal už hubu a šúchal nohami. Pretože strápnil si sa v ňom statočne. Daj si niekomu inteligentnejšiemu vysvetliť, prečo. Ale nie, ty ešte po tamtom budeš útočiť.
|
|
Re: HTTP$$
Od reg.: K-NinetyNine
|
Pridané:
9.9.2016 10:44
jeducho. tie so s ktore su bezpecne, maju platny certifikat.
tu mas priklady nie bezpecnych stranok (nemaju platny certifikat podpisany certifikacnou autoritou pre danu domenu):
https://hlavnespravy.sk/
https://zemavek.sk/
https://badatel.sk/
ja viem ze su to vsetko prijebane weby, ale ako priklad posluzia (uz davno som zistil, ze vsetky tie zjemavleky a podobne picoviny nezvyknu mat platny ssl certifikat)
priklad bezpecnej stranky (s platnym certifikatom pre danu domenu a vsetkym obsahom prenasanym cez https, pricom kazdy prvok prichadza tiez z domeny s platnym certifikatom):
https://www.google.sk
https://facebook.com/
|
|
Re: HTTP$$
Od: ficoid
|
Pridané:
9.9.2016 10:48
gratulujem, prave si vymenoval najimbecilnejsie stranky internetu...
|
|
Re: HTTP$$
Od reg.: K-NinetyNine
|
Pridané:
9.9.2016 10:57
jop. to bude tym, ze tie imbecilne stranky spravuju imbecili, ktori nevedia ani len ssl certifikat nahodit. v dnesnej dobe, ked starssl aj letsencrypt davaju certifikaty zadara.
|
|
Re: HTTP$$
Od reg.: Jaa 1
|
Pridané:
9.9.2016 10:53
To je prave to ze vsetky https sa nemozu povazovat automaticky za "bezpecne" len koli tomu certifikatu ci esku. Napr. moj netovy provajder je podla tohto nedoverihodny odkedy si ho platim t.j. skoro 20 rokov. Napr. aj Prima banka bola dlho out.
|
|
Re: HTTP$$
Od: quix_
|
Pridané:
9.9.2016 11:46
ty si to cele pleties.https nehovori nic o tom, ze stranka je bezpecna.hovori len o tom, s kym komunikujes.pokojne ti moze aj https://gooogle.com poslat link na stiahnutie malwaru.
|
|
Re: HTTP$$
Od reg.: miggg
|
Pridané:
9.9.2016 11:56
Nechcem sa s tebou hadat, lebo mas na to specificky pohlad, ale pri https, ked je stranka oznacena za nedoverihodnu a v skutocnosti je doverihodna, neznamena to, ze ked je stranka oznacena ako doverihodna tak moze byt nedoverihodna (bavime sa o sifrovani, nie obsahu). A k tvojej uvahe vyssie, taky priklad: ked teraz niekto zamyka dvere a niekto nie, a neskor budu zamykat vsetci, nebude to to iste ako keby nikto nezamykal...
|
|
Re: HTTP$$
Od: quix_
|
Pridané:
9.9.2016 11:59
sora,zle vlakno :D
|
|
Re: HTTP$$
Od reg.: K-NinetyNine
|
Pridané:
9.9.2016 16:01
ak ma web https a prehliadac ho oznacil za doveryhodny, znamena to tolko:
web ma platny certifikat podpisany certifikacnou autoritou, ktorej tvoj prehliadac doveruje.
web je ten za koho sa vydava, teda https://tvojabanka.com nie je mnou podsunuta stranka tvojej banky aby som ti ukradol udaje (keby som ti kvoli zranitelnosti v routri napr. zmenil DNS)
komunikaciu medzi webom a tebou (pravdepodobne) nikto nedokaze precitat, pokial nema potrebne privatne kluce (ak webmaster strati privatne kluce, prve co spravi je, ze zneplatni certifikat, vygeneruje nove kluce a novy certifikat).
na druhej strane web, ktory je oznaceny ako nedoveryhodny, moze byt kludne doveryhodny, ale istotu mat nebudes. moze to byt kludne moj server ktory ti namiesto obsahu bude dodavat jeden mallware za druhym.
|
|
Re: HTTP$$
Od: 1234.
|
Pridané:
9.9.2016 10:49
wow. just wow.
|
|
Pošli kvety
Od: akoze
|
Pridané:
9.9.2016 10:39
Janka Hospodarova je v cajku, heslo na wikipedii zabezpecene https protokolom.
http://dopice.sk/icA
len sa obavam ze dopice.sk pojde dopice
a v skratenom linku zda sa chyba jedno pismeno
|
|
Kongruencia
Od: syntaxterrorA
|
Pridané:
10.9.2016 15:23
Veď heslo na Wikipédii vôbec neobsahovalo ten najpodstatnejší prínos! Ako je možné opomínanie tlače cez wifi?! Čo to tam majú za adminov?!
|
|
Znalecky posudok rollbacku
Od: syntaxterrorA
|
Pridané:
10.9.2016 16:53
Revízia 6359668 používateľa Contexterr (diskusia) bola vrátená: diskusná fikcia na bezvýznamnom sajte skutočne nie je relevantný zdroj)
|
|
BezpečnýWeb
Od: Zlý ujo gogoľ
|
Pridané:
9.9.2016 11:26
Šak čo,veľký sestra ničí konkurenciu..Vždy sa hrá na dobrého pomocníka..A to hlavne tajných služieb..Na smetisko dejín celú firmu!
|
|
DoS v HTTPS
Od: koumak
|
Pridané:
9.9.2016 11:34
Najvtipnejsie na tom je, ze pre https domenu by mat web kazdu zvlast IP a druhy vacsi vtip je vyssi narok na CPU pre sifrovanie, takze sa da vytvorit efektivnejsi utok len requestami,pokial teda poskytovatel bude chciet zachovat pocet spojeni ako pri nesifrovanom webe.
|
|
Re: DoS v HTTPS
Od: meheh
|
Pridané:
9.9.2016 15:30
meh, aj na SSL uz mozes mat pekne dlhu dobu viac domen na jednej IP...
|
|
Re: DoS v HTTPS
Od: Jochka bezpecnostni tehnyk...
|
Pridané:
9.9.2016 18:33
Mnooo... Je kopa bláznov čo fičia na XP s IE 6...
|
|
už zasa
Od: sensei-san
|
Pridané:
9.9.2016 12:06
Ja idem do prdele chalani ...HTTP stránky označí ako nebezpečné, kokos vám musí je**ť chalani fakt, vám musí je**ť.
|
|
Re: už zasa
Od: bulo lepsi
|
Pridané:
9.9.2016 12:25
Strasna vec ten vyvoj co? Toto by sa za zlatych komunistov nestalo! Https nikoho neobtazovalo a mlieko stalo 2 koruny!
|
|
Re: už zasa
Od reg.: Jaa 1
|
Pridané:
9.9.2016 14:03
Mlieko tolko stoji aj dnes. Sucasne € je + - 3x "silnejsie" ako koruna v 89tom.Chleba stal 6Kcs dnes 2 €, mlieko plnotucne 3.1 dnes 0.8-1€,skodovka 105L 36k dnes ta lacnejsia 10-12.Len dovolenky, energie a zubary boli zadarmo ;-)
|
|
Re: už zasa
Od: TurboB
|
Pridané:
10.9.2016 4:28
ee, Skodovka stala raz tolko. Ta nasa 120L '83 bola za 62k
a Horalky isli po 0.34 Kcs ak mi memory dobre sluzi
|
|
Ako sa to da zapnúť?
Od: rms_
|
Pridané:
9.9.2016 14:22
Ako sa to dá zapnúť už teraz, prosím?
|
|
Re: Ako sa to da zapnúť?
Od: b2un0
|
Pridané:
10.9.2016 14:25
chrome://flags
Označenie nezabezpečených zdrojov ako Nezabezpečené
Mark non-secure origins as non-secure
|
|
najvacsia diera je prievidza
Od: ikea
|
Pridané:
9.9.2016 14:33
Nechapem preco prehliadace hlasia ako nezabezpecene slovenske stranky konkretne freemaily, ked je tam jasne zapnuty SSL
|
|
Re: najvacsia diera je prievidza
Od: sensei-san
|
Pridané:
9.9.2016 17:13
napr?
|
|
Re: najvacsia diera je prievidza
Od: b2un0
|
Pridané:
10.9.2016 14:36
Zoznam, Post, Centrum ide jednozačne cez HTTP.
|
|
Re: najvacsia diera je prievidza
Od reg.: raketa
|
Pridané:
12.9.2016 14:13
aj Azet... pritom tam clovek pri prihlaseni ma SSL zakliknute "zap.", je to zahada, vsak si to overte user.centrum.sk
|
|
Https
Od: Https
|
Pridané:
9.9.2016 14:42
Ale občas ma to vytáča. Prihlásiť sa na hotely či letisku na free wifi. Samozrejme moja domovská stránka je presmerovaná na stránku poskytovateľa pre schválenie podmienok používania ale chrome ju odmietne zobraziť a tak idem na dsl.sk čo nemá certifikát. Potvrdím podmienky poskytovateľa a už môžem konečne ísť na google.com... Rozmýšľam či sa na budúce z chrome prihlásim na domáci rooter...
|
|
Re: Https
Od: meheh
|
Pridané:
9.9.2016 14:53
kup si certifikat na 192.168.*.*
|
|
Re: Https
Od: b2un0
|
Pridané:
10.9.2016 14:38
Tej potvrdzovacej stránke sa nadáva Captive portal. To, že nemá platný cert, je ale lajdácka konfigurácia AP na strane toho hotela, nie problém Chrome.
|