Google Chrome


gnews




Security


Το Google Chrome αναβαθμίζεται αυτόματα σε ασφαλείς συνδέσεις για όλους τους χρήστες



By

Marizas Dimitris

Η Google έχει κάνει ένα σημαντικό βήμα προς την ενίσχυση της ασφάλειας του Chrome στο διαδίκτυο αναβαθμίζοντας αυτόματα τα μη ασφαλή αιτήματα HTTP σε αιτήματα HTTPS για το 100% των χρηστών.

Αυτό το χαρακτηριστικό ονομάζεται

HTTPS-Αναβαθμίσεις

και θα ασφαλίσει παλιούς συνδέσμους που χρησιμοποιούν το http://, επιχειρώντας αυτόματα να συνδεθούν πρώτα στη διεύθυνση URL μέσω του κρυπτογραφημένου πρωτοκόλλου https://.

Μια περιορισμένη διάθεση αυτής της δυνατότητας στο

ξεκίνησε τον Ιούλιο, αλλά από τις 16 Οκτωβρίου, η Google τη διέθεσε πλέον σε όλους τους χρήστες στο κανάλι Stable.

“Ενεργοποιήσαμε τις αναβαθμίσεις HTTPS από προεπιλογή στον κορμό την περασμένη εβδομάδα και αυτή τη στιγμή κυκλοφορούν σε 100% σταθερό”, αναφέρει

μια ενημέρωση

από τον Επικεφαλής Διαχείρισης Προγράμματος Μηχανικών Google,

Thompson.


Τι είναι οι αναβαθμίσεις HTTPS;

Οι αναβαθμίσεις HTTPS είναι μια λειτουργία του Google Chrome που αναβαθμίζει αυτόματα όλες τις πλοήγησης του κύριου πλαισίου σε HTTPS, την ασφαλή έκδοση του Πρωτοκόλλου μεταφοράς HyperText, ενώ παράλληλα εξασφαλίζει μια γρήγορη επιστροφή στο HTTP, εάν χρειάζεται.

Ιστορικά, τα προγράμματα περιήγησης έκαναν συχνά μη ασφαλή αιτήματα HTTP σε ιστότοπους που ήταν ικανοί να υποστηρίζουν HTTPS.

Είτε αυτό οφείλεται στο ότι οι χρήστες κάνουν κλικ σε παλιούς συνδέσμους είτε επειδή το περιεχόμενο σε ιστότοπους δεν έχει αναβαθμιστεί ώστε να χρησιμοποιεί το νέο πρωτόκολλο, οι συνδέσεις μέσω του πρωτοκόλλου HTTP δεν είναι

γραφημένες και μπορούν να υποκλαπούν για κλοπή διαπιστευτηρίων ή άλλων ευαίσθητων δεδομένων.

Η Google λέει ότι αυτό θα μπορούσε επίσης να συμβεί με τη φόρτωση πόρων HTTP από:

  • Ένας χρήστης που πλοηγείται σε έναν ιστότοπο χρησιμοποιώντας HSTS (HTTP Strict Transport Security) για πρώτη φορά,
  • Πρόσβαση σε ιστότοπο που έχει προεπιλογή HTTPS αλλά δεν χρησιμοποιεί HSTS ή
  • Επισκεφτείτε έναν ιστότοπο που υποστηρίζει τόσο HTTPS όσο και HTTP χωρίς αυτόματη ανακατεύθυνση σε HTTPS.

Σε κάθε περίπτωση, το απόρρητο και η ασφάλεια των χρηστών διακυβεύονται μέσω περιττών ανασφαλών συνδέσεων. Αυτό το ζήτημα παρέμεινε σε διάφορες διαμορφώσεις, επηρεάζοντας ενδεχομένως πολλά αιτήματα.

Υπάρχουσες μέθοδοι για την επιβολή HTTPS, όπως η

HSTS

Η λίστα προφόρτωσης ή οι χειροκίνητες λίστες αναβάθμισης έχουν περιορισμούς. Είτε περιλαμβάνουν περίπλοκες και επικίνδυνες ρυθμίσεις είτε καλύπτουν περιορισμένο εύρος τοποθεσιών.


, η διατήρηση μιας ενημερωμένης λίστας ιστότοπων που υποστηρίζονται από HTTPS μπορεί να είναι δύσκολη και εντατική σε εύρος ζώνης, οδηγώντας συχνά σε ξεπερασμένες πληροφορίες που φτάνουν στους χρήστες.


Η Google διορθώνει ζητήματα ασφαλείας με τις αναβαθμίσεις HTTP

Με αυτήν την ενημέρωση, το Chrome στοχεύει να αναβαθμίσει αυτόματα τους συνδέσμους HTTP στη σελίδα σε HTTPS, εφαρμόζοντας έναν γρήγορο εναλλακτικό μηχανισμό σε HTTP, εάν απαιτείται.

Το πρόγραμμα περιήγησης μπορεί επίσης να σέβεται μια κεφαλίδα εξαίρεσης, επιτρέποντας στους διακομιστές ιστού που εξυπηρετούν διαφορετικό περιεχόμενο σε HTTP και HTTPS να αποτρέπουν τις αυτόματες αναβαθμίσεις.

Αυτή η συμπεριφορά θα απαιτήσει τροποποιήσεις στην προδιαγραφή Fetch, ιδιαίτερα όσον αφορά την αναβάθμιση των αιτημάτων πλοήγησης στο κύριο πλαίσιο και τον χειρισμό σφαλμάτων δικτύου σε αναβαθμισμένα αιτήματα.

Η αναβάθμιση επηρεάζει διάφορες πτυχές της περιήγησης:

  • Περιορίζεται σε πλοήγηση στο κύριο πλαίσιο, με αναβαθμίσεις δευτερευόντων πόρων που διέπονται από τις υπάρχουσες πολιτικές μικτού περιεχομένου.
  • Οι πλοηγήσεις που ξεκινούν μέσω της γραμμής URL ή της JavaScript είναι κατάλληλες για αναβαθμίσεις.
  • Η αναβάθμιση επηρεάζει μόνο αν

    ρκή αιτήματα όπως το GET, που ευθυγραμμίζονται με τις τρέχουσες πολιτικές μικτού περιεχομένου για φόρμες σε αναβαθμισμένες σελίδες.
  • Οι ανακατευθύνσεις σε HTTP από τις αρχικές πλοηγήσεις HTTPS αναβαθμίζονται επίσης.

Αν και αυτή η αυτόματη αναβάθμιση δεν αποτρέπει τις υποβαθμίσεις, δεν προσφέρει λιγότερη ασφάλεια από τον τρέχοντα κανόνα.

Περιορίζει την έκθεση σε παθητικούς εισβολείς, αν και οι ενεργοί εισβολείς θα μπορούσαν να εμποδίσουν τη διαδικασία αναβάθμισης. Είναι σημαντικό ότι αυτή η αλλαγή μπορεί να μειώσει το κίνητρο των προγραμματιστών να διορθώσουν τις αναφορές HTTP.

Ωστόσο, δεδομένης της τρέχουσας τάσης επισήμανσης σελίδων HTTP ως “Μη ασφαλείς”, αυτή η αναβάθμιση είναι ένα προληπτικό μέτρο για την προστασία των χρηστών, ειδικά σε ιστότοπους που δεν είναι πιθανό να ενημερωθούν σε HTTPS.


VIA:

bleepingcomputer.com


Follow TechWar.gr on Google News

















Marizas Dimitris



122082 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.


More Stories


The Xbox Series X is discounted again, plus the rest of the…



Η διαρροή των Massive Pixel 8 και Pixel Watch 2 ρίχνει φως…



Καθώς η Disney πιέζει προς την κερδοφορία του streaming, η…