Наскоро Google Developers, които отговарят за проекта Chromium, направени известни чрез публикация в блога техните намерения да приложат няколко стъпки за увеличаване на използването на HTTPS по подразбиране.
Сред основните им опасения те споменават, че въпреки факта, че около 90% от потребителския трафик на Chrome/Chromium идва от HTTPS сайтове, останалите 5-10% от останалия трафик е от HTTP сайтове, което се превръща в сърфиране „Не съм сигурен“.
Разработчиците споменават това в публикациятаe Крайната цел на Google е да активира HTTPS-First за всички потребители, който автоматично пренасочва HTTP заявките към HTTPS и въпреки че все още не всички сайтове поддържат HTTPS и има конфигурации, при които се връща различно съдържание при достъп до HTTP и HTTPS, беше решено да се приложат серия от междинни мерки преди широкото въвеждане на автоматично пренасочване към HTTPS.
Вярваме, че мрежата трябва да е защитена по подразбиране. Режимът HTTPS-First позволява на Chrome да изпълни точно това обещание, като получи вашето изрично разрешение, преди да се свърже със сайт по несигурен начин. Нашата цел е в крайна сметка да активираме този режим за всички по подразбиране. Докато мрежата все още не е готова да активира универсално HTTPS-First режим днес, ние обявяваме няколко важни стъпки към тази цел.
И от Chrome 115 режимът HTTPS-First беше активиран gпостепенно по подразбиране за малък процент от потребителите. За да се осигури работа със сайтове, които не поддържат HTTPS, е въведено връщане към HTTP, ако след препращане не е възможно да се изпълни заявка през HTTPS или ако има проблеми със сертификати.
За тези, които не знаят за HTTPS-First, мога да ви кажа, че той решава проблема с обслужването на различно съдържание през HTTP и HTTPS. Например, когато HTTPS е активиран, но не е конфигуриран на сървъра, режимът HTTPS-First ще се прилага автоматично засега само ако предишни HTTPS посещения са регистрирани в хронологията на сърфиране за текущия сайт.
Изтеглените файлове може да съдържат злонамерен код, който заобикаля пясъчната среда на Chrome и други защити, давайки на мрежовия атакуващ уникална възможност да компрометира компютъра ви, когато възникнат опасни изтегляния. Това предупреждение има за цел да информира хората за риска, който поемат.
Все още ще можете да изтеглите файла, ако сте доволни от риска. Освен ако режимът HTTPS-First не е активиран, Chrome няма да показва предупреждения, когато файлове като изображения, аудио или видео се изтеглят несигурно, тъй като тези типове файлове са относително безопасни. Надяваме се да приложим тези предупреждения от средата на септември.
На този етап режимът HTTPS-First е активиран за потребители, които са влезли в акаунта си и са се съгласили да участват в програмата за разширена защита на Google.
Освен това се споменава, че Chrome 117 планира да внедри предупреждения при опит за изтегляне на файлове през незащитена връзкада се. Предупрежденията ще се показват за файлове с някои опасни разширения (.exe, .zip) и ще информират потребителя за риска тези файлове да бъдат фалшифицирани поради използването на некриптиран комуникационен канал. Това ще позволи на потребителя да отхвърли предупреждението и да продължи изтеглянето чрез HTTP. Файловете с изображения, видеоклипове и музика няма да получават тези предупреждения.
За тези, които се интересуват от възможността да активират режима HTTPS-First, без да чакат активирането му по подразбиране в браузъра, могат да го направят в конфигуратора (chrome://settings/security), като активирате настройката „Винаги използвайте защитени връзки“ или използвате експерименталния „chrome:/ /flags/#https-upgrades“ и „chrome://flags/#insecure-download-warnings“.
Накрая се споменава, че в бъдеща версия на Chrome се планира да се активира HTTPS-First по подразбиране за страници, отворени в режим инкогнито, тъй като в момента се провеждат експерименти за автоматично активиране на HTTPS-First за сайтове, за които е известно, че поддържат HTTPS, както и активиране на HTTPS-First за потребители, които рядко използват HTTP в браузъра си.
Ако се интересувате да научите повече за това, можете да се консултирате с подробности в следваща връзка.