Google je preduzeo značajan korak ka poboljšanju Chrome internet sigurnosti automatskom nadogradnjom nesigurnih HTTP zahtjeva na HTTPS zahtjeve za 100% korisnika.
Ova funkcija se zove HTTPS-Nadogradnje i osigurat će stare veze koje koriste http:// tako što će se automatski pokušati prvo povezati na URL preko šifrovanog https:// protokola.
Ograničeno uvođenje ove funkcije u Google Chrome počelo je u julu, ali od 16. oktobra, Google ju je uveo svim korisnicima na Stable kanalu.
“Omogućili smo HTTPS-nadogradnje prema zadanim postavkama na trank-u prošle sedmice, a trenutno se krećemo na 100% stabilan”, stoji u ažuriranju vođe Google inženjerskog programa za upravljanje Chrisom Thompsonom.
Šta su HTTPS-nadogradnje?
HTTPS-nadogradnja je funkcija Google Chrome-a koja automatski nadograđuje sve navigacije glavnog okvira na HTTPS, sigurnu verziju HyperText Transfer Protocola, istovremeno osiguravajući brzi povratak na HTTP ako je potrebno.
Istorijski gledano, pretraživači su često postavljali nesigurne HTTP zahtjeve web lokacijama koje su mogle podržavati HTTPS.
Bilo da je to zbog toga što korisnici kliknu na stare linkove ili zato što sadržaj na web stranicama nije nadograđen za korištenje novog protokola, veze preko HTTP protokola nisu šifrovane i mogu se njuškati kako bi se ukrali kredencijali ili drugi osjetljivi podaci.
Google kaže da bi se to moglo dogoditi i učitavanjem HTTP resursa od:
- Korisnika koji prvi put navigira na web lokaciju koristeći HSTS (HTTP Strict Transport Security),
- Pristupa web lokaciji koja je zadana po HTTPS, ali ne koristi HSTS, ili
- Posjete stranici koja podržava i HTTPS i HTTP bez automatskog preusmjeravanja na HTTPS.
U svakom slučaju, privatnost i sigurnost korisnika su ugroženi nepotrebnim nesigurnim vezama. Ovaj problem je i dalje prisutan u različitim konfiguracijama, potencijalno utičući na mnoge zahtjeve.
Postojeće metode za provođenje HTTPS-a, kao što je HSTS preload lista ili ručno odabrane liste za nadogradnju, imaju ograničenja. One ili uključuju složene i rizične postavke ili se bave ograničenim rasponom lokacija.
Osim toga, održavanje ažurne liste web lokacija koje podržavaju HTTPS može biti izazovno i zahtijeva propusni opseg, što često dovodi do toga da zastarjele informacije dođu do korisnika.
Google rješava sigurnosne probleme pomoću HTTPs-nadogradnje
Sa ovim ažuriranjem, Chrome ima za cilj da automatski nadogradi HTTP veze unutar stranice na HTTPS, implementirajući brzi mehanizam za vraćanje na HTTP ako je potrebno.
Pregledač takođe može poštovati zaglavlje za isključivanje, dozvoljavajući veb serverima koji poslužuju različite sadržaje na HTTP i HTTPS da spreče automatske nadogradnje.
Ovo ponašanje će zahtijevati izmjene specifikacije Fetch, posebno u pogledu nadogradnje zahtjeva za navigaciju glavnog okvira i rukovanja mrežnim greškama u nadograđenim zahtjevima.
Nadogradnja utiče na različite aspekte pregledavanja:
- Ograničen je na navigaciju glavnog okvira, s nadogradnjom podizvora vođenom postojećim politikama mješovitog sadržaja.
- Navigacije pokrenute putem URL trake ili JavaScript-a su kvalifikovane za nadogradnje.
- Nadogradnja utiče samo na idempotentne zahtjeve kao što je GET, usklađujući se s trenutnim politikama mješovitog sadržaja za obrasce na nadograđenim stranicama.
- Preusmjeravanja na HTTP sa početnih HTTPS navigacija su također nadograđena.
Iako ova automatska nadogradnja ne sprečava downgrade, ona nudi ništa manje sigurnosti od trenutne norme.
Ograničava izloženost pasivnim napadačima, iako aktivni napadači mogu ometati proces nadogradnje. Važno je da ova promjena može smanjiti motivaciju programera da isprave HTTP reference.
Međutim, s obzirom na trenutni trend označavanja HTTP stranica kao „nesigurne“, ova nadogradnja je proaktivna mjera zaštite korisnika, posebno na web lokacijama za koje je malo vjerovatno da će biti ažurirane na HTTPS.
Izvor: BleepingComputer
