В Chrome планируется помечать соединение как небезопасное при открытии сайта по HTTP

HTTP соединение будет помечаться, как небезопасное в Chrome

HTTP соединение будет помечаться, как небезопасное в Chrome

Участники Chrome Security Team опубликовали план перехода к пометке web-страниц, открытых по HTTP, как небезопасных. Предупреждение о небезопасности соединения будет выводиться по аналогии с тем, как сейчас помечаются HTTPS-соединения, установленные с некорректными или невалидными сертификатами.

По мнению разработчиков, попытки привития культуры использования безопасных каналов связи малоэффективны, если соединения по HTTP продолжают преподноситься в браузере как само собой разумеющееся. Ситуацию можно изменить наглядно информируя о том, что HTTP не обеспечивает безопасность данных. В частности, планируется перейти от практики выделения только защищённых соединений к пометке не заслуживающих доверия соединений как небезопасных, что будет стимулировать пользователей и владельцев сайтов переходить на HTTPS, сообщает www.opennet.ru.

Выделяются три основных уровня безопасности:

  • Безопасное соединение (корректный доступ по HTTPS или доступ к локальным ресурсам);
  • Сомнительное соединение (используется HTTPS, но на странице присутствуют ресурсы, загружаемые по HTTP, или для валидного HTTPS-соединения наблюдаются незначительные ошибки TLS);
  • Небезопасное соединение (доступ через HTTP или некорректный сеанс HTTPS).

Переход к новой схеме планируется воплотить в жизнь в 2015 году, при этом новая маркировка будет внедряться постепенно. В частности, предложено какое-то время помечать HTTP-сайты как сомнительные, перед пометкой их небезопасными. Например, сомнительными HTTP-сайты можно начать помечать когда число безопасных сайтов превысит 65%, затем когда безопасных сайтов будет больше 75%, HTTP-сайты можно маркировать как небезопасные. Когда число безопасных сайтов превысит 85% предлагается убрать явную маркировку безопасного доступа, подразумевая, что безопасны все не помеченные сеансы.

Дополнительно, можно отметить намерение реализовать в ближайших выпусках Chrome вывод специальных предупреждений об излишнем потреблении дополнениями памяти или ресурсов CPU. Подобные предупреждения будут информировать пользователя о причинах аномалий в работе браузера, которые часто списываются пользователями на сам браузер. При том, что по статистике именно установленные дополнения являются основной причиной проблем с производительностью браузера.

Яндекс опроверг слухи о скрытой установке российского сертификата в Windows

В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.

В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.

Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.

Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.

 

Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.

Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.

Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.

RSS: Новости на портале Anti-Malware.ru