neprihlásený
|
Štvrtok, 21. novembra 2024, dnes má meniny Elvíra |
|
Chrome bude považovať za normu šifrované HTTPS stránky, pri bežných výstražný trojuholník
Značky:
ChromeHTTPšifrovanieweb
DSL.sk, 17.5.2018
|
|
Spoločnosť Google v rámci svojej snahy pretransformovať celý web na šifrovaný prenos stránok vo svojom webovom prehliadači Chrome uskutoční okrem už oznámených zmien v blízkej budúcnosti aj ďalšie dve významné zmeny v prístupe k zabezpečeným HTTPS aj nešifrovaným HTTP stránkam.
Spoločnosť to oznámila dnes.
Pri využívaní protokolu HTTP sa stránky a tiež odosielané požiadavky vrátane adries, dát v hlavičkách a najmä obsahu formulárov prenášajú v nešifrovanej podobe. Dáta tak môže získať každý so schopnosťou odchytávať túto dátovú komunikáciu. Pri HTTPS sú naopak prenášané dáta šifrované protokolom TLS / SSL a útočník odchytávajúci prenášané dáta ich tak nevie odšifrovať.
Google začal s označovaním HTTP stránok ako nie bezpečných postupne ku koncu roku 2016. Najskôr sa pri takýchto stránkach zobrazovala iba informačná ikona, po kliknutí na ktorú sa v ďalších informáciách uvádzalo, že pripojenie nie je bezpečné.
HTTP stránka zobrazená v Chrome 64 a budúcom Chrome 68, kliknite pre zväčšenie (obrázok: Google)
Od verzie Chrome 56 v januári 2017 začal Chrome označovať HTTP stránky, na ktorých užívatelia zadávajú heslá a čísla platobných kariet, aj textovým upozornením "Not secure" priamo v políčku pre adresu.
Na začiatku tohto roka spoločnosť avizovala ďalšiu zmenu od pripravovanej júlovej verzie Chrome 68, v ktorej začne označovať všetky HTTP stránky takýmto spôsobom.
Zmena v označovaní HTTPS stránok od Chrome 69, kliknite pre zväčšenie (obrázok: Google)
Teraz oznámila ďalšie dve zmeny. Okrem upozorňovania na HTTP stránky plánuje Google naopak považovať HTTPS stránky za bežnú normu a postupne u nich úplne odstráni upozorňovanie, že sú zabezpečené. Teraz konkrétne ohlásila, že od septembrovej verzie Chrome 69 prestane ukazovať označenie "Secure" a pri adrese bude iba zámoček. Zatiaľ v nespresnenom čase odstráni aj ten.
Plánované upozorňovanie na HTTP stránky so zadávaním dát v Chrome 70 a neskôr pre všetky HTTP stránky, kliknite pre zväčšenie (obrázok: Google)
Hneď v ďalšej verzii Chrome 70 plánovanej na október uskutoční aj ďalšiu zmenu, keď naopak začne HTTP stránky, na ktorých užívatelia zadávajú dáta, označovať červeným výstražným trojuholníkom s červeným nápisom "Not secure". K zmene farby a pridaniu výstražného trojuholníka príde po tom, ako užívateľ reálne začne na stránke zadávať do formuláru text.
V minulosti spoločnosť zároveň avizovala, že postupne takto dôrazne plánuje označovať všetky HTTP stránky. Kedy sa tak stane ale nie je zatiaľ jasné.
Google sa snaží o prechod na HTTPS aj viacerými ďalšími aktivitami, okrem štandardného prístupu na jeho služby cez HTTPS spoločnosť okrem iného už nedovolí prístup na svoj vyhľadávač cez HTTP a vo výsledkoch vyhľadávania zvýhodňuje HTTPS stránky.
HTTPS je k dispozícii už od roku 1994. Jeho presadzovanie na bežný prístup k stránkam bolo donedávna pomerne pomalé a zintenzívnilo sa najmä po odhaleniach Snowdena o masovom sledovaní verejnosti z roku 2013.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.....
Od: Snake...
|
Pridané:
17.5.2018 22:15
Demencia fakt, aby umoznili vnutropodnikove vynimky to nie, ale umelo generovat zisk CAckam a providerom to ano
|
|
Re: .....
Od: b2un0
|
Pridané:
17.5.2018 22:35
Let's encrypt ti nic nehovori? Ked potrebujes https, je to jasna volba.
|
|
Re: .....
Od: Snake...
|
Pridané:
17.5.2018 22:48
Nie let´s encrypt mi nic nehovori, nakolko lets encryt si vyvinul svoj ACME protokol cez ktory updatuje CERT, nehovoriac o tom, ze .local tld ti nikto neregne, a PKCS#7 Let´s Encrypt nepodporuje. Naozaj nemienim manualne updatovat kazde 3 mesiace stovku serverov, switchov, NPS providerov, pripadne KRB5 frontendy kvoli debilnemu vymyslu googlu. Uz dost na tom ze si natlacili svoje Certificate Transparency (co schvalujem, polozilo to myslim Symantec po tych zisteniach), ale nikde nedavaju moznosti whitelistnut s wildcardom kedy sa CT pozaduje a kedy nie, nehovoriac o tom, ze niektore Embedded zariadenia HTTPS ani nepodporuju, a niektore podporuju iba SSL a nie TLS a ani uz nikdy nebudu (iLO2 ehm ehm).
Chrome je vo vela veciach dobry, ale ten Enterprise management zaostava bohuzial, ja vo vela pripadoch ich kroky schvalujem, kedze chrania userov, ale vramci intranetu pre business deployment by mohli byt trosku benevolentnejsi.
|
|
Re: .....
Od: kjhjhjibnikjh
|
Pridané:
17.5.2018 23:23
"ale nikde nedavaju moznosti whitelistnut s wildcardom kedy sa CT pozaduje a kedy nie"
Lebo to nedava zmysel?
Priekazne si to neskusal, lebo u rucne pridanych autorit sa CT nevyzaduje. Vlastna CA moze vystavit certifikat aj na 100 rokov a dokonca v zaklade moze obchadzat certificate pinning. Proste ak si raz admin na tom stroji, tak sa veri, ze tomu rozumies a mozes odpocuvat koho chces.
SSL je stare a bol risk, ze by jeho podpora umoznila downgrade utoky.
|
|
Re: .....
Od: Fun fun
|
Pridané:
18.5.2018 12:23
Keď nemieniš, tak to nerob. :)) A nepičuj.
|
|
Re: .....
Od: DuckDuck
|
Pridané:
18.5.2018 13:41
Presne...ja to rád za peniaze urobím
|
|
Re: .....
Od: Snake...
|
Pridané:
18.5.2018 19:01
Neurobis kedze by ta k tomu ani nikto nepustil (jedina HPE EVA na SK), nemas na to ani vedmosti, ani certifikacie a ani skolenia
|
|
Re: .....
Od: loopy255
|
Pridané:
17.5.2018 22:44
nechcem byt neprijemny, ale ak mas vnutropodnikove http sluz by (cize asi na neverejnej sieti), a ak ti naozaj vadi nejake sproste UI tak preco si nespravis rovnaku aj sukromnu CA?
|
|
Re: .....
Od: Snake...
|
Pridané:
17.5.2018 22:49
tu samozrejme mam, ale vid vyssie, oni od 30.4 nutia mat certy so SAN a CT, inak ti to chrome flagne ako untrusted :/. A CT bez verejneho zoznamu (co je sucat CT) nespravis.
|
|
Re: .....
Od: Na ČT 2
|
Pridané:
17.5.2018 23:15
No čertov by som nechcel ani ja.
|
|
Re: .....
Od: asdasdasdfsdf
|
Pridané:
17.5.2018 23:17
To neplati pre manualne pridane autority.
|
|
Re: .....
Od: qwertyuiop1
|
Pridané:
18.5.2018 0:20
Vo vnutri podniku vies pouzivat vlastne certifikaty, Active Directory aj FreeIPA obsahuju CA, pouzi ju. Ked nepouzivas AD alebo IPA, tak si aspon urob CA s openssl.
|
|
Re: .....
Od: tvojsused
|
Pridané:
18.5.2018 10:22
mozes upravit zoznam root certifikatov a mozet tam pridat aj svoj self-sign
|
|
zrusenie zamku
Od: ...
|
Pridané:
17.5.2018 22:33
zrusit oznacenie pri protokole https nie je velmi stastne riesenie, moze to viest k tomu ze si na to niekto zvykne, potom sa ocitne na pc/zariadeni so starsim prehliadacom a tam mu to bude rovnako ukazovat prave nie-https stranky....
|
|
trojuhoľník
Od: ffdf
|
Pridané:
17.5.2018 22:48
zhorel na uhoľ!
|
|
zelena ides
Od: bt4w
|
Pridané:
17.5.2018 23:26
ach, uz roky ucim bfu ze ked je zelena je dobre a ked neni tak pozor a oni to teraz zmenia...
|
|
Re: Here we go
Od: ajtacka
|
Pridané:
18.5.2018 10:21
Takze ked bude vsetko v poriadku v prehliadaci, BFU sa nemusi bat?
|
|
autofill
Od: risototh
|
Pridané:
18.5.2018 10:40
Radsej by mohli fixnut to nahodne predvyplnovanie loginu a passwordu do nahodnych policiek vo formulari na stranke, s ktorym prisli v Chrome 66. Kopa zakaznikov sa na to stazuje, je to uplne nevypocitatelne a nezda sa ze by niektore z rieseni publikovane vo fore na Chrome blogu fungovalo na 100%...
|
|
Mám rád trojuhoľníky.
Od: Ahasver
|
Pridané:
18.5.2018 14:50
Mám rád nádherné trojuholníky s patričnou 3D hĺbkou, dýchajúcou voľnosťou v podobe nastávajúcej vývevy a pevnou uzáverou v koreni povrchového zobrazenia. Kysučanky s ich klzkými trojuholníčkami priam excelujú pred venezuelskými devami z radov rozkošne snedých indiániek krížených so španielmi.
|
|
Nesúhlasím
Od: iiii
|
Pridané:
20.5.2018 6:47
Vymýšľajú v tom googli somariny, nútiť niekoho do niečoho. Fuj!
|
Pridať komentár
|
|
|
|