Google ogłasza kamień milowy związany z oznaczeniami bezpieczeństwa w przeglądarce Chrome: strony po HTTP w wersji 68 Chrome’a są już oznaczane „niezabezpieczone”.
Bezpieczeństwo jest od samego początku jedną z podstawowych zasad przyświecająca twórcom przeglądarki internetowej Chrome. Google nieustannie pracuje nad zapewnieniem bezpieczeństwa podczas przeglądania sieci. Prawie 2 lata temu ogłoszono, że Chrome ostatecznie oznaczy wszystkie witryny, które nie są zaszyfrowane po HTTPS jako „Niezabezpieczone”.
Dzięki nowemu oznaczeniu stron po HTTP i HTTPS łatwiej jest sprawdzić, czy Twoje dane osobowe są bezpieczne podczas przeglądania stron internetowych, niezależnie od tego, czy logujesz się do konta bankowego, czy kupujesz bilety na koncerty. Od dzisiaj Google wprowadziło zmiany oznaczeń stron WWW dla wszystkich użytkowników Chrome’a.
Począwszy od najnowszej wersji przeglądarki Chrome (68), zobaczysz teraz nowe oznaczenie „Niezabezpieczona” w pasku adresu strony, podczas odwiedzania stron HTTP.
Więcej zaszyfrowanych połączeń to większe bezpieczeństwo
Po załadowaniu witryny serwowanej za pośrednictwem zwykłego protokołu HTTP ,połączenie z witryną nie jest szyfrowane. Oznacza to, że każdy w sieci może podejrzeć dowolne informacje, które wysyłane są do i z witryny. Ktoś taki może nawet modyfikować zawartość witryny, zanim zostanie wyświetlona w oknie przeglądarki.
Dzięki protokołowi HTTPS twoje połączenie z witryną jest szyfrowane, więc „podsłuchiwacze” są blokowani, a informacje (takie jak hasła lub informacje o karcie kredytowej) będą prywatne podczas wysyłania ich do takiej witryny.
Ostrzeżenie Chrome’a w postaci informacji „Niezabezpieczona” na pasku adresu mają pomóc użytkownikom dowiedzieć się, kiedy połączenie z witryną, na której się znajdujesz, nie jest bezpieczne, a jednocześnie ma zmotywować właściciela witryny do poprawy bezpieczeństwa swojej strony i użytkowników. Od czasu pierwszego ogłoszenia tych zmian minęły już 2 lata, a użycie protokołu HTTPS stało się bardzo popularne. Z „Raportu przejrzystości” Google’a wynika, że:
- 76 proc. ruchu w Chrome’ie na Androida jest teraz chronione, wzrost z 42 proc.,
- 85 proc. ruchu w Chrome’ie pod ChromeOS jest teraz chronione (w por. do 67 proc.),
- 83 z 100 najpopularniejszych witryn internetowych domyślnie używa protokołu HTTPS, wzrost z 37.
Google wiedziało, że wprowadzenie ostrzeżenia na wszystkich stronach HTTP zajmie trochę czasu, dlatego zaczęto od zaznaczania tylko stron bez szyfrowania, na których należało podać hasło lub informacje o karcie kredytowej. Następnie zaczęto wyświetlać ostrzeżenie „Niezabezpieczona” w dwóch dodatkowych sytuacjach: kiedy użytkownicy wprowadzają dane na stronie HTTP i na wszystkich stronach HTTP odwiedzanych w trybie incognito.
Ostatecznie celem Google’a jest popularyzacja HTTPS (SSL), aby oznaczenie w przeglądarce Chrome było widoczne wtedy, gdy witryna nie jest bezpieczna, a domyślnym stanem bez żadnych oznaczeń był „bezpieczny” (szyfrowany po HTTPS). Tekst „Bezpieczna” zostanie całkowicie usunięty we wrześniu, a w październiku 2018 r. pojawi się czerwone ostrzeżenie „Niezabezpieczona”, gdy użytkownicy mają wprowadzać jakiekolwiek dane na stronach HTTP.
W październikowej wersji przeglądarki Chrome (70) zobaczysz czerwone oznaczenie „Niezabezpieczona” podczas wprowadzania danych na stronie po HTTP.
Łatwe szyfrowanie
Jeśli jesteś właścicielem witryny i zamierzasz przenieść ją na HTTPS, Google pomaga zrobić to bezboleśnie i prawie bezkosztowo. Udoskonalenia obejmują zarządzane stronami po HTTPS, a także darmowe i automatyczne certyfikaty za pomocą Let’s Encrypt (Chrome jest partnerem Platinum). Jeśli jesteś w trakcie migracji do HTTPS, szukaj dodatkowych informacji i wskazówek w Search Console.
Kiedy więc kupujesz bilety na koncerty lub korzystasz z bankowości online, upewnij się, ze adres strony jest po HTTPS i jest prawdziwy! Dodatkowo przeglądarka Chrome ostrzeże Cię teraz, jeśli coś jest nie tak ze stroną, ale nie oznacza to, że nie należy zachować dodatkowej czujności, jeśli zauważysz coś podejrzanego na stronie lub w jej adresie.
źródło: Google Blog – A milestone for Chrome security: marking HTTP as “not secure”