Google Chrome и Mozilla Firefox сделают маркировки о безопасности сайтов более навязчивыми Статьи редакции
Mozilla Firefox в своём последнем обновлении (v.51) уже начала предупреждать о том, что использование некоторых HTTP-соединений небезопасно. Google Chrome выпустит новую версию до конца недели, в ней также появятся предупреждения о незащищённом соединении. Об этом сообщает издание ArsTechnica.
Маркировка о незащищённом соединении будет появляться на страницах, которые используют протокол HTTP и имеют формы ввода данных. Например, поля для ввода пароля или номера банковской карты. В подобных случаях Chrome будет отдельно предупреждать в адресной строке, что страница небезопасна.
Как сообщает ArsTechnica, протокол HTTP не является безопасным, так как не зашифровывает соединение, это делает доступным «прослушку» действий на таких страницах. Например, когда пользователь сидит через общественную Wi-Fi-сеть.
Многие современные сайты работают через протокол HTTPS, который является дополненной версией обычного HTTP, но в отличие от него передаёт данные в зашифрованном виде. Перехват такой информации бесполезен для злоумышленника, так как ключ к расшифровке находится на удалённом сервере.
Ранее, если подключение к странице производилось через HTTP, браузеры явным образом не предупреждали о том, что такой сайт небезопасен. И в Chrome и в Firefox нужно было нажать на иконку с информацией о подключении в поисковой строке, чтобы узнать об этом. Теперь предупреждения будут более очевидными для пользователей: в Chrome будет написано «небезопасно», а в Firefox появится иконка красного перечёркнутого замка.
В сентябре 2016 года инженер по безопасности Chrome Эмили Шехтер (Emily Schehter) сообщала, что пользователи не замечали предупреждений в прошлых версиях.
Исследование показывает, что пользователи не воспринимают отсутствие надписи «надёжный» в строке адреса в качестве предупреждения и при этом закрывают глаза, если их предупреждают слишком часто. В следующих выпусках мы продолжим расширять предупреждения на HTTP-страницах, например, путем маркировки таких страниц как «небезопасных» в режиме инкогнито, где пользователи рассчитывают на большую приватность. В конце концов, мы планируем изменить маркер безопасности HTTP на красный треугольник, который мы используем при ошибочном HTTPS.
По данным ArsTechnica, следующая версия Firefox будет включать предупреждения каждый раз при вводе пароля на небезопасных сайтах с HTTP-соединением, а Google намерена маркировать абсолютно все страницы с HTTP как небезопасные.
Комментарий недоступен
пока нет пруфов насчет снифа https все что написано выше объявляю пиздежом
MITM.
хуитм. как это относится к снифу, если тут уже нужна подмена сертификата? ты еще про sslstrip вспомни. на пальцах, если бы https без проблем можно было бы снифать, то хер какой банк бы позволил управлять своими счетами онлайн
Разговор начался с непонятных wi-fi сетей и корпоративных систем безопасности. Я про это если что.
Ты спрашивал пруф – например вот эта система http://www.mfisoft.ru/direction/ib/garda-predpriyatie/
вот эта твоя шайтан вундервафля может снифать https? меня терзают смутные сомнения, в частности этот пункт
Собственный модуль проксирования шифрованных соединений, устанавливаемый в разрыв контролируемого канала передачи данныхчтобы оно работало мне придется самому ставить леваковый сертификат и это ну никак не относится к тому что есть способ снифать https трафик
Мы с самого начала про MIMT говорим же.
это ты про него говоришь, я вообще-то говорил что https достаточно надежен и его можно использовать абсолютно в любой сети, т.к. доступных способов снифа нет. а митм это просто наебка пользователя, которая заставляет его думать что он использует защищенное соединение. и тут есть большое но, незаметно для пользователя сертификат подменить нельзя, способ расчитан на домохозяек. с таким успехом можно просто сбрасывать соединение на http через sslstrip, вот только при чем тут это?
Про то, что "https достаточно надежен" … Я и не спорил об этом как бы.
промазал, ниже ответил
Только вот если ты можешь юзера заставить добавить свой сертификат, то не легче ему просто кейлоггер поставить?
В противном случае ничего не получится
Nope
Блядское выкручивание рук. Теперь даже текстовые страничках нужно переводить в https, чтобы юзеры не шарахались. А потом месяцами ждать переиндексации.
Не заметил чтобы перевод на https скащался на переиндексации. По крайней мере у гугла просто в выдаче появилась приставка https рядом с доменом и всё.
Когда у вашего сайта более 100.000 страниц, это очень заметно.
Эээ, я тут чего-то не понимаю. Что можно отсниффать в HTTPS на незащищенном вайфае кроме факта соединения с определенным доменом?
Блин, промах. Смотри ответ ниже
Хз. Есть оборудование. Используется в корп системах безопасности. Щас конкретно не вспомню, могу уточнить.
Да, уточни, очень интересно чем можно поломать сертификат нормальной длинны.
пока нет пруфов насчет снифа https все что написано выше объявляю пиздежом
MITM.
Разговор начался с непонятных wi-fi сетей и корпоративных систем безопасности. Я про это если что.
Мдааа. Касательно пиздежа и пруфов ничего не изменилось
Давай я расскажу тебе как делал я. Ставишь сквид на дефолт гейтвее, на нем делаешь подмену сертификата. Юзерам похуй на плашку "ваше соединение не защищено", они тыкают да да далее. В итоге сертификат мой, снифаю что хочу. Конец.
давай расскажу тебе как делал я, кидаю файл сиськи.exe с вирусней, юзерам похуй, они запускают. вот только при чем тут эти охуительные истории? заебался уже сам себя цитировать
пока нет пруфов насчет снифа https все что написано выше объявляю пиздежомТред не читал, статья про юзеров, я и ответил.
В рамках корпораций / контор всё можно сделать. Пруфы выше.
при чем тут твои корпорации, при чем тут митм, если изначально был разговор о
как будто https через ненадежную wi-fi сеть от чего-то спасетнахуя ты продолжаешь писать вообще не по теме?
Ага, а причем тут это если пост про браузеры? Ага.
В рф же нельзя шифровать
Комментарий недоступен
Ой, да ладно, как будто https через ненадежную wi-fi сеть от чего-то спасет
А что нет?
Да нет, сниффается спокойно. Не так просто, как через http, конечно, но тем не менее.
Ну вот есть у тебя шифрованый трафик, дальше что?
Я предполагаю, что ты не владеешь своим центром сертификации.
ещё от оборудования зависит, например Cisco будет довольно сложно сниффануть, если соединение через https
Эээ, я тут чего-то не понимаю. Что можно отсниффать в HTTPS на незащищенном вайфае кроме факта соединения с определенным доменом?
Блин, промах. Смотри ответ ниже
MITM же.
так https и защищает от MITM
Сорян, но ты путаешь. :)
Комментарий недоступен
Комментарий удален модератором
Хз. Есть оборудование. Используется в корп системах безопасности. Щас конкретно не вспомню, могу уточнить.
Да, уточни, очень интересно чем можно поломать сертификат нормальной длинны.
Это он про обычную mitm-хуету с подменой сертификата на самоподписанный. Для этого сначала нужно установить собственный корневой сертификат в браузер пользователя, что руководству компании в пределах компании сделать легко, но в диком мире нереально.
Значит человек слабо понимает о чём говорит.
Да, сорян, ошибка вышла. Я читал описание DLP решений, в котором по паре продуктов, подключенных "к контролируемой wi-fi сети" подразумевался "Перехват любого трафика переданного по Wi-FI сети"
По факту одно решение ловит только нешифрованный траф, второе http и взаимодействует с MDM решением на телефоне, третье просто блочит загрузку файлов через сеть (Ну так по крайней мере на сайте GTB указано)
Я как бы с другой стороны к вопросу подхожу как видишь.
Но интересные штуки есть. Infowatch Касперский сделали фемтосоту, которая может писать разговоры. К ней можно приложить ПО по распознованию голоса и товарища майора. Вопрос как им только обойти ФЗ по тайне переписки. Но это уже решаемо.
Дак эти соты не они сделали, а купить их можно было относительно давно.
ну это да, они же ПО делают