Начиная с января при заходе на некоторые HTTP-сайты Chrome станет предупреждать пользователя о небезопасности такого шага. О грядущих изменениях сообщила на прошлой неделе Google Эмили Шехтер (Emily Schechter) из группы специалистов, отвечающей за безопасность Chrome.

Согласно анонсу в блоге компании, вначале Chrome будет тревожно реагировать лишь на HTTP-страницы с полями для ввода пароля или данных кредитной карты, а затем эта практика постепенно распространится на все соединения по HTTP. График перехода на новую систему оповещений в браузере Google пока не озвучила.

Новая мера рассматривается в компании как развитие политики обеспечения безопасности пользователей. В настоящее время Chrome помечает HTTP-соединения нейтральной иконкой (серого цвета); после обновления системы оповещений все HTTP-страницы будут считаться ненадежными и маркироваться красным треугольником — таким же, каким браузер ныне реагирует на HTTPS-страницы с какими-либо недочетами. “Это не значит, что HTTP-соединение несет реальную угрозу, — поясняет Шехтер, говоря о нейтральном индикаторе. — Просто при загрузке сайта через HTTP кто-то в той же сети может просмотреть и модифицировать сайт до того, как он будет вам загружен”.

Chrome - HTTP-сайты

В своей блог-записи эксперт также отметила, что новый шаг к обновлению предупреждений Chrome спровоцировала публикация статьи “Rethinking Connection Security Indicators” (“К вопросу об индикации безопасности соединений”), появившаяся этим летом. Ее авторы, специалисты из Google, обнаружили, что большинство пользователей Chrome знают, что означает замок на зеленом фоне, однако нейтральная иконка им непонятна. Вместо действующей системы оповещений исследователи предлагают отображать в адресной строке три символа: замок с зеленым фоном для надежных HTTPS-сайтов, подсвеченную серым букву “i” для HTTP и красный треугольник в тех случаях, когда HTTPS-сайт небезопасен или не прошел проверку подлинности.

В этой статье также сказано, что Google планирует взять на вооружение выводы исследования, однако лишь теперь стало ясно, когда ждать изменений в Chrome.

Многие соавторы статьи — опытные исследователи, специализирующиеся на вопросах взаимодействия с пользователем с целью повышения его безопасности и приватности. Так, в прошлом году Адриенна Портер Фелт (Adrienne Porter Felt) и Роберт Ридер (Robert Reeder) в соавторстве с другими коллегами из Google опубликовали аналогичный труд, предложив обновить касающиеся SSL предупреждения в Chrome. Согласно выводам исследователей, грамотно оформленный SSL-алерт поможет пользователю принять разумное, обоснованное решение или хотя бы предотвратит переход на опасный ресурс.

Первых изменений в отношении HTTP можно ожидать, видимо, с выпуском Chrome 56. Текущая версия браузера, Chrome 53, появилась около двух недель назад.

Категории: Главное, Кибероборона