Как ваш веб-браузер сообщает вам, когда это безопасно

  1. Сафари
  2. Fire Fox
  3. Хром
  4. край

Google на прошлой неделе прописал график, который он будет использовать чтобы обратить вспять годы совета экспертов по безопасности при просмотре веб-страниц - «искать замок». Начиная с июля, поисковый гигант будет отмечать небезопасные URL-адреса в своем доминирующем на рынке Chrome, а не те, которые уже являются безопасными. Цель гугла? Давите на всех владельцев сайтов, чтобы они принимали цифровые сертификаты и шифровали трафик всех своих страниц.

Решение пометить HTTP-сайты - те, которые не заблокированы сертификатом и которые не шифруют соединения сервер-браузер и браузер-сервер - вместо того, чтобы маркировать более безопасные HTTPS-сайты, не возникло из ниоткуда. Google обещает столько же с 2014 года.

И Google, вероятно, возобладает: доля браузера Chrome, которая сейчас составляет 60%, почти гарантирует это.

Специалисты по безопасности высоко оценили кампанию Google и вероятную конечную игру. «Мне не придется просить маму искать замок», - сказал Честер Вишневский, главный научный сотрудник охранной фирмы Sophos, из отдела коммутации. «Она может просто использовать свой компьютер».

Но что делают конкуренты Chrome? Идти в ногу или придерживаться традиции? Computerworld запустил «большую четверку» - Chrome, Mozilla Firefox, Apple Safari и Microsoft Edge - чтобы выяснить это.

Сафари

Браузер Apple в настоящее время использует традиционную модель вывесок: он помещает маленький значок замка в адресную строку, когда страница защищена цифровым сертификатом и трафик между Mac и сервером сайта зашифрован.

Нет замка? Это означает, что сайт не шифрует трафик.

Последние версии браузера, однако, предпринять дополнительные шаги в определенных обстоятельствах. Если пользователь находится на небезопасном сайте - который не заблокирован сертификатом и шифрованием - и пытается выполнить такие задачи, как ввод информации в поля входа в систему или те, которые предназначены для приема номеров кредитных карт, Safari выдает предупреждение с красным текстом в адресе панель, которая начинается как Незащищенная, а затем изменяется на Веб-сайт Незащищенный Эти упущенные оповещения дебютировали с версией Safari, поставляемой в комплекте с macOS 10.13.4, обновлением, выпущенным 29 марта (владельцы Mac под управлением OS X 10.11 (El Capitan) или macOS 10.12 (Sierra) получили те же функции в Safari 11,1 обновление в тот же день.)

)

яблоко

Предупреждение « Небезопасный веб-сайт» также должно появляться, если сертификат устарел или незаконен.

Fire Fox

Браузер Mozilla находится на пути, аналогичном Google Chrome; это в конечном итоге пометит все сайты без шифрования отличительным маркером. Но Firefox еще не там.

Но Firefox еще не там

Mozilla

В настоящее время Firefox показывает замок с красной зачеркнутой линией, когда пользователь достигает страницы HTTP, содержащей комбинацию имени пользователя и пароля для входа. Помещение курсора в одно из полей - например, щелкнув в одном - добавляет текстовое предупреждение, которое гласит: « Это соединение небезопасно. Вход в систему может быть скомпрометирован.

В противном случае в Firefox все еще действует традиция: сайты HTTPS отмечены зелеными замками в адресной строке, а обычные страницы HTTP не отмечены.

Однако Mozilla решила изменить иконографию. «В конечном итоге Firefox отобразит значок зачеркнутой блокировки для всех страниц, которые не используют HTTPS [выделение добавлено] , чтобы прояснить, что они не защищены», - пишут Танви Вьяс и Питер Долански, инженер по безопасности и менеджер по продукту соответственно. , в сообщение в блоге больше года назад , «По мере развития наших планов мы будем продолжать публиковать обновления, но мы надеемся, что эти изменения вдохновят всех разработчиков предпринять необходимые шаги для защиты пользователей Интернета через HTTPS».

Mozilla

Функция mark-all-HTTP скрыта в Firefox, но она не включена в текущем браузере производственного качества, Firefox 60. Однако пользователи могут включить его вручную.

  • Введите about: config в адресную строку Firefox
  • Поиск для security.insecure_connection_icon.enabled
  • Дважды щелкните этот элемент; значение false в значении изменится на true

Вы можете проверить изменения, введя страницу HTTP в адресную строку, например, bbc.com .

Хром

Chrome по-прежнему использует обычный замок для маркировки сайтов HTTPS и не вызывает незашифрованный трафик (HTTP), по крайней мере, при быстром взгляде на адресную строку. (Если щелкнуть значок информации в адресной строке, символ строчной буквы i в круге, слева от URL-адреса, отобразится раскрывающийся список, который привлекает внимание к существующим незащищенным соединениям.)

)

Google

А с 2017 года Chrome помечает сайты, которые передают либо пароли, либо данные кредитной карты через HTTP-соединения, как небезопасные с помощью текста в адресной строке.

Но Google запланировал несколько дополнительных шагов на этот год, которые приблизят Chrome к цели перевернуть десятилетия визуальных сигналов, которые отмечают шифрование трафика.

Изменения начинаются в июле с Chrome 68 - установленного на неделю 22-28 июля - на всех сайтах HTTP будет текст с надписью Not Secure, предшествующий URL в адресной строке.

Google

Пользователи могут включить поведение Chrome 68 с помощью этих шагов в текущем Chrome 66:

  • Введите chrome: // флаги в адресной строке.
  • Найти предмет Пометить незащищенные источники как незащищенные.
  • Выберите « Включить» (пометьте предупреждением «Не защищено») и перезапустите Chrome.
  • При желании вместо этого выберите Включить (пометить как активно опасные), чтобы отобразить и красный значок.

Google

Затем, Chrome 69, выход которого запланирован на неделю 2-8 сентября, браузер сбросит зеленый защищенный текст из адресной строки для страниц HTTPS и покажет только маленький значок замка. Google охарактеризовал это как шаг от того, чтобы утвердительно отметить защищенную страницу, и к более нейтральному ярлыку.

Google

Затем, в октябре, появится Chrome 70 (в течение недели с 14 по 20 октября), на котором любой HTTP-сайт помечается маленьким красным треугольником, обозначающим небезопасное соединение, вместе с текстом « Не защищен» в адресной строке. Эти сигналы отображаются, как только пользователь взаимодействует с любым полем ввода.

край

Во многом так же, как Apple Safari, ведущий браузер Microsoft придерживается модели HTTPS-помечен, а HTTP-нет.

Edge отображает значок замка в адресной строке, когда страница защищена цифровым сертификатом, а трафик между ПК с Windows 10 и сервером зашифрован. Если замка нет, сайт не шифрует трафик, а использует HTTP. Однако, чтобы получить полную историю, пользователи должны щелкнуть по значку - « я» внутри круга - и прочитать текст во всплывающем окне. «Будь осторожен», - предупреждает Эдж. «Ваше подключение к этому веб-сайту не зашифровано. Это облегчает кому-то кражу конфиденциальной информации, такой как пароли».

Microsoft

В отличие от Safari, Firefox и Chrome, Edge не предлагает специальных предупреждений, когда пользователь посещает сайт HTTP со спортивными важными полями ввода, например, теми, которые предназначены для паролей или номеров кредитных карт.

( Computerworld использовал веб-сайт badssl.com для проверки работоспособности всех четырех браузеров.)

Цель гугла?
Но что делают конкуренты Chrome?
Идти в ногу или придерживаться традиции?
Нет замка?