Η ομάδα του Chrome θα σημαδέψει το HTTP ως μη ασφαλής το 2015 | Η G...

Η ομάδα του Chrome θα σημαδέψει το HTTP ως μη ασφαλής το 2015

Η Google είναι έτοιμη να δώσει με τον νέο έτος ένα δώρο στους χρήστες του διαδικτύου, που ανησυχούν για τα προσωπικά τους δεδομένων και την ασφάλεια. Η ομάδα ασφαλείας του έργου Chromium έχει σημαδέψει όλη την κίνηση των ιστοσελίδων με το πρωτόκολλο μεταφοράς HTTP ως μη ασφαλής και σχεδιάζει ρητά και δραστικά να ενημερώσει τους χρήστες ότι οι συνδέσεις HTTP δεν παρέχουν καμία προστασία για την ασφάλεια των δεδομένων.

Υπάρχουν επίσης έργα όπως το Let's Encrypt, όπου ξεκίνησε από ένα μη-κερδοσκοπικό ίδρυμα το EFF (Electronic Frontier Foundation) σε συνεργασία με μεγάλες και φημισμένες εταιρείες συμπεριλαμβανομένων των Mozilla, Cisco και Akamai όπου προσφέρουν δωρεάν πιστοποιητικά HTTPS/SSL για εκείνους όπου έχουν διακομιστές (Server) υπό την κατοχή τους στο διαδίκτυο την αρχή του 2015.

Η ομάδα ασφαλείας του Chrome σκοπεύει να σημαδέψει το πρωτόκολλο HTTP ως μη ασφαλής το 2015

Αυτή δεν είναι η πρώτη φορά όπου η Google παίρνει την πρωτοβουλία να ενθαρρύνει τους ιδιοκτήτες των ιστοσελίδων να μεταβούν στο πρωτόκολλο μεταφοράς HTTPS εξαρχής. Λίγους μήνες νωρίτερα, ο κολοσσός του διαδικτύου είχε κάνει αλλαγές στον αλγόριθμο αναζήτησης σε μια προσπάθεια να δώσει μικρή ώθηση προς τα επάνω στην κατάταξη των ιστοσελίδων που χρησιμοποιούσαν κωδικοποιημένες συνδέσεις μέσω HTTPS.

"Εμείς, η ομάδα ασφαλείας του Chrome, προτείνουμε στους χρήστες σταδιακά να αλλάξουν την συνήθειά τους και να θεωρούν ως μη ασφαλή σύνδεση το πρωτόκολλο HTTP," η ομάδα έγραψε στο blog τους. Και στο μήνυμα συνέχισαν λέγοντας, "ο σκοπός σε αυτή την πρόταση είναι να δείξουμε ξεκάθαρα στους χρήστες ότι οι συνδέσεις μέσω HTTP δεν προβάλουν καμία ασφάλεια στα δεδομένα τους."

"Όλοι θέλουμε τα δεδομένα που ανταλλάσσουμε μέσω διαδικτύου να είναι ασφαλής (προσωπικά, επικαιροποιημένα και αναλλοίωτα). Όταν δεν υπάρχει ασφάλεια στα δεδομένα, τότε θα πρέπει να είναι εμφανή το γεγονός αυτό στους χρήστες έτσι ώστε με την σειρά τους να μπορούν να αποφασίσουμε πως θα αλληλεπιδράσουν με την πηγή (την ιστοσελίδα)."

Οι χρήστες πάντα υποβιβάζουν την ασφάλεια και προτειμούν την ευελιξία/ελευθερία ενώ πλοηγούνται στο διαδίκτυο. Τώρα όταν μιλάμε για την ασφάλεια, αυτό σημαίνει να μειώσουμε και να μετριάσουμε την απευθείας σύνδεση με τους φορείς της επίθεσης. Μια τέτοια κίνηση γενικότερα ελαχιστοποιεί την ελευθερία μας να χρησιμοποιήσουμε ορισμένες ή περισσότερες λειτουργίες. Η ομάδα ασφαλείας παρατηρεί επίσης ότι η κίνηση μέσω HTTPS συνήθως παράγει μια ενημέρωση στην διεπαφή του χρήστη όπως ένα σημείωμα στην γραμμή διευθύνσεων των προγραμμάτων περιήγησης ενώ το μη ασφαλής πρωτόκολλο μεταφοράς δεδομένων HTTP δεν το κάνει. Οι δείκτες ασφαλείας αυτοί και οι προειδοποιήσεις υποτίθεται ότι θα προστατεύσουν τους χρήστες από επιθέσεις τύπου man-in-the-middle ή ιστοσελίδες 'phishing'.

"Γνωρίζουμε ότι οι άνθρωποι δεν αντιλαμβάνονται γενικότερα την απουσία του προειδοποιητικού σήματος," έγραψε η ομάδα ασφαλείας του Google Chrome. "Ωστόσο η μόνη περίπτωση στην οποία τα προγράμματα περιήγησης στο διαδίκτυο εγγυούνται να μην προειδοποιήσουν τους χρήστες είναι ακριβώς όταν δεν υπάρχει πιθανότητα ασφαλείας: όταν δηλαδή η σύνδεση και τα δεδομένα μεταφέρονται μέσω HTTP πρωτοκόλλου."


Η ομάδα των ερευνητών προτείνουν στα προγράμματα περιήγησης να καθορίζουν τρεις βασικές καταστάσεις στην ασφάλεια του στρώματος μεταφοράς:

  • Ασφαλής (επικυροποιημένα HTTPS, άλλες πηγές προέλευσης όπως (*, localhost, *))
  • Αμφίβολη (επικυροποιημένα HTTPS άλλα με ποικίλες παθητικές πηγές προέλευσης, επικυροποιημένα HTTPS με κύρια σφάλματα TLS)
  • Μη ασφαλής (broken συνδέσεις HTTPS, HTTP)


Πιο συγκεκριμένα, η Google ενθαρρύνει τους ιδιοκτήτες ιστοσελίδων να υιοθετήσουν μια σταδιακή προσέγγιση στην εφαρμογή της αλλαγής αυτής και να ανταποκριθούν στις ανάγκες των χρηστών τους και να περιορίσουν την ανάπτυξη των λογισμικών που χρησιμοποιούν προς αυτήν την κατεύθυνση.

"Σε γενικές γραμμές προτείνουμε μια σταδιακή προσέγγιση για σήμανση των μη ασφαλών πηγών προέλευσης ως μη ασφαλή" έγραψε η ομάδα.


Αυτή η τελευταία κίνηση από τον κολοσσό των μηχανών αναζήτησης θα μπορούσε να ωθήσει περισσότερες ιστοσελίδες στο πρωτόκολλο HTTPS προκαθορισμένα, επειδή όσο περισσότερα κωδικοποιημένος είναι ένας ιστότοπος, τόσο περισσότερο θα έχει εμπιστοσύνη από τους χρήστες του καθώς επίσης θα δοθεί η κατάλληλη προτεραιότητα στα αποτελέσματα της μηχανής αναζήτησης Google. Το μήνυμα άλλωστε αναφέρει ότι η Google "σκοπεύει να επινοήσει και να αρχίσει η ανάπτυξη ενός σχεδίου μετάβασης για το Chrome το 2015."

Πηγή: thehackernews.com
Άρθρο μεταφρασμένο από: webgift dev™

Κατηγορία:

Ιστολόγιο
https://www.webgift.gr/templates/core_webgift/
0