neprihlásený Štvrtok, 29. februára 2024, dnes má meniny Radomír
Chrome upozorňuje na nešifrované HTTP stránky, čoskoro ich označí ako nebezpečné

Značky: GoogleChromešifrovanieHTTP

DSL.sk, 9.9.2016


Spoločnosť Google začala v rámci svojej snahy pretransformovať celý web na šifrovaný prenos stránok postupne vo svojom webovom prehliadači Chrome stránky prenášané nešifrovaným protokolom HTTP označovať ako nebezpečné.

V aktuálne novej verzii Chrome 53 sa v prípade stránky prenášanej cez HTTP a nie HTTPS objavuje v políčku pre adresu informačná ikona. Po kliknutí na ňu sa objavia ďalšie informácie o stránke vrátane informácie, že pripojenie k tejto stránke nie je bezpečné.

Rovnakú ikonu Chrome používa v prípade zabezpečených stránok, ktoré používajú postupne opúšťané kryptografické algoritmy, napríklad SHA-1.

V januári 2017 vo verzii Chrome 56 začne Chrome ale dokonca priamo v políčku pre adresu uvádzať informáciu, že HTTP stránka nie je bezpečná. Spoločnosť to oznámila vo štvrtok.


Upozorňovanie na HTTP stránky v Chrome 53 a plánované upozorňovanie na stránky s heslami Chrome 56, kliknite pre zväčšenie (obrázok: Google)



Informácia sa najskôr bude ukazovať u stránok, na ktorých užívatelia zadávajú heslá alebo čísla kreditných kariet.

Zároveň Google ale avizuje, že jeho konečným cieľom je všetky HTTP stránky označiť priamo výstražným červeným trojuholníkom rovnako ako HTTPS stránky s konkrétnym bezpečnostným problémom indikujúcim potenciálny útok. Kedy príde k tomuto kroku spoločnosť neinformovala.

Pripravovaný zámer Google uskutočniť takýto krok avizovala na konferencii Usenix Enigma už na začiatku roka spoločnosť CloudFlare. Hoci možnosť zapnúť takéto správanie je prítomná v Chrome už dlhšie, doteraz zapnuté štandardne nebolo a Google oficiálne plán avizuje až teraz.


Finálne plánované upozorňovanie na HTTP stránky v Chrome, kliknite pre zväčšenie (obrázok: Google)



Jeho deklarovým cieľom je pomôcť užívateľom browsovať po webe bezpečne. Zároveň sa dá samozrejme očakávať, že nasadenie týchto zmien donúti prevádzkovateľov stránok prejsť na šifrovanú HTTPS verziu.

Google sa snaží o prechod na HTTPS aj viacerými ďalšími aktivitami, okrem štandardného prístupu na jeho služby cez HTTPS spoločnosť okrem iného už nedovolí prístup na svoj vyhľadávač cez HTTP a vo výsledkoch vyhľadávania zvýhodňuje HTTPS stránky.

HTTPS, pri ktorom je prenos stránok a údajov medzi prehliadačom a webovým serverom šifrovaný protokolom TLS / SSL a útočník zachytávajúci túto dátovú prevádzku ju nevie odšifrovať, je k dispozícii už od roku 1994. Jeho presadzovanie na bežný prístup k stránkam bolo donedávna pomerne pomalé a zintenzívnilo sa najmä po odhaleniach Snowdena o masovom sledovaní verejnosti z roku 2013.


      Zdieľaj na Twitteri



Najnovšie články:

Chrome má plošne zapnúť šifrovanie odolné kvantovým počítačom v apríli, časť užívateľov ho už využíva
Raspberry Pi sa doteraz predalo 61 miliónov kusov
Samsung predstavil microSD kartu s reálnou rýchlosťou 800 MB/s
Spustená výroba rýchlejšej rýchlej HBM pamäte
Orange má výpadok 4G siete, zákazníci bez 5G sú tak odkázaní na 2G
Telekom má zrejme problém s 1000 GB balíčkom, užívateľom účtuje aj denný balíček - aktualizácia 1
Windows 11 sa bude aktualizovať bez potreby reštartu
Apple zrušila vývoj samojazdiaceho elektromobilu
Vydaný nový Tails 6.0
Vo vlakoch do Prahy sa výrazne zlepší WiFi


Diskusia:
                               
 

aby boli všetky stránky na https. Šifrované pripojenie má zmysel len na stránkach, ktoré poskytujú nejaké služby a údaje z komunikácie môžu byť zneužité, nechápem ale, aký význam by malo, aby bolo napr. DSL.sk a podobné spravodajské weby na šifrovanom protokole... Zase G...
Odpovedať Známka: 5.2 Hodnotiť:
 

Aj na dsl.sk sa dá prihlásiť a údaje sa prenášajú nešifrovane, keby tu boli len články tak by to taký význam nemalo.
Odpovedať Známka: 8.8 Hodnotiť:
 

Veď áno, prihlásiť sa dá, ale aká škoda hrozí, ak komunikácia nebude šifrovaná? Aj tak tu nikto nepoužíva skutočné údaje a jediné, čo by útočník získal je možnosť zadávať komenty pod menom niekoho iného, čo je fakt výhra :)
Odpovedať Známka: -3.3 Hodnotiť:
 

pri registrácii sa zadáva aj email, stačí ak niekto používa tie isté údaje na prihlásenie pre viaceré weby a potenciál zneužitia hneď narastá.
Odpovedať Známka: 8.8 Hodnotiť:
 

ze ti utocnik podvrhne clanok,ktory bude riesit napriklad hack hesiel a rovno tam bude policko na overenie tvojej emailovej adresy,ci nebola hacknuta? ludia vy si fakt neuvedomujete nebezpecenstva nesifrovanej komunikacie.browsre uz dnes bezne odmietaju obsah prichadzajuci cez nesifrovane spojenie v urcitych scenaroch.takyto akozeodbornici ako ty ma vedia vytocit.hlavne si absolutne neuvedomujes mozne vektory utoku
Odpovedať Známka: 5.0 Hodnotiť:
 

Eventualne, a to je este zakernejsie, utocnik podvrhne clanok,ktory bude mat zmysel.
Odpovedať Známka: 10.0 Hodnotiť:
 

to by bolo hned podozrive!
Odpovedať Známka: 10.0 Hodnotiť:
 

Inak fakt. Ze DSL.sk este stale nepouziva SSL je trapas na eNtu. Hej redakcia, nejaky koment? :)
Odpovedať Známka: 7.5 Hodnotiť:
 

Tak, chcú sa poistiť, že odpočúvať komunikáciu budú môcť len oni..
Odpovedať Známka: 7.5 Hodnotiť:
 

nesifrovane stranky su potencialne nebezpecne kedze to do nich moze po ceste ktokolvek nieco pridat

iba pri sifrovanom pripojeni mas istotu ze naozaj zobrazujes originalnu stranku tak ako mala byt
Odpovedať Známka: 8.2 Hodnotiť:
 

boli doby, ked ISP vkladali do navstevovanych stranok vlastnu reklamu :D to s https nehrozi ;-)
Odpovedať Známka: 10.0 Hodnotiť:
 

Iba zeby man in the middle. Wait, ISP je presne to :)
Odpovedať Hodnotiť:
 

Ako ak nema platny certifikat pre danu domenu podpisany certifikacnou autoritou, ktorej tvoj prehliadac doveruje?
Odpovedať Hodnotiť:
 

ak by sa o nieco take tvoj ISP pokusil, tvoj prehliadac by zareagoval presne takto: https://zemavek.sk/
Odpovedať Hodnotiť:
 

ma to zmysel aj pri beznom obsahu, kde neprebieha ziadne prihlasovanie, pretoze to zabrani utoku man in the middle.

tuto na dsl.sk, ak sa mi podari ti zmenit dns server, mohol by som ti podhodit clanok "dsl.sk konci, zacnite citat [sem vstunte konkurencnu stranku]".
Odpovedať Známka: 7.8 Hodnotiť:
 

O konci DSL by to bolo smutné, ale stále bezpečné.
Horšie by bolo "Nájdená vzdialene zneužiteľná zraniteľnosť vo všetkých OS, opravu sťahujte tu, tu a tu". A tie tu by to sťahovali priamo z DSL.sk.
Alebo priamo zraniteľnosť zneužitá z webu DSL.sk, teda od útočníkov.
Odpovedať Známka: 10.0 Hodnotiť:
 

na dsl.sk to je na to, aby som mal istotu ze citam skutocne dsl.sk a nie nejaku podvrhnutu verziu cez wifi v kancli
Odpovedať Známka: 10.0 Hodnotiť:
 

Cize ked budu vsetky stranky so S tak budu na tom rovnako ako ked boli vsetky stranky bez S. Ako sa potom odlisi bezpecnejsia verzia webu od "obycajnej". Alebo zacal novy kolobeh nezmyslu?
Odpovedať Známka: -6.2 Hodnotiť:
 

Tak toto je asi vrchol diskutérskej logiky, čo som tu videl za poslednú dobu. Mount Everest.
Odpovedať Známka: 7.3 Hodnotiť:
 

Na toto tvoje tvrdenie mas urcite aj nejaky dovod. Alebo si stelesnenim svojho nicku?
Odpovedať Známka: -2.7 Hodnotiť:
 

Hlúpy si jak tágo. Byť tebou, po takom momente, ako si dal na vrchu, by som držal už hubu a šúchal nohami. Pretože strápnil si sa v ňom statočne. Daj si niekomu inteligentnejšiemu vysvetliť, prečo. Ale nie, ty ešte po tamtom budeš útočiť.
Odpovedať Známka: 2.0 Hodnotiť:
 

jeducho. tie so s ktore su bezpecne, maju platny certifikat.
tu mas priklady nie bezpecnych stranok (nemaju platny certifikat podpisany certifikacnou autoritou pre danu domenu):
https://hlavnespravy.sk/
https://zemavek.sk/
https://badatel.sk/

ja viem ze su to vsetko prijebane weby, ale ako priklad posluzia (uz davno som zistil, ze vsetky tie zjemavleky a podobne picoviny nezvyknu mat platny ssl certifikat)

priklad bezpecnej stranky (s platnym certifikatom pre danu domenu a vsetkym obsahom prenasanym cez https, pricom kazdy prvok prichadza tiez z domeny s platnym certifikatom):
https://www.google.sk
https://facebook.com/
Odpovedať Známka: 0.0 Hodnotiť:
 

gratulujem, prave si vymenoval najimbecilnejsie stranky internetu...
Odpovedať Známka: 4.5 Hodnotiť:
 

jop. to bude tym, ze tie imbecilne stranky spravuju imbecili, ktori nevedia ani len ssl certifikat nahodit. v dnesnej dobe, ked starssl aj letsencrypt davaju certifikaty zadara.
Odpovedať Známka: 3.3 Hodnotiť:
 

To je prave to ze vsetky https sa nemozu povazovat automaticky za "bezpecne" len koli tomu certifikatu ci esku. Napr. moj netovy provajder je podla tohto nedoverihodny odkedy si ho platim t.j. skoro 20 rokov. Napr. aj Prima banka bola dlho out.
Odpovedať Hodnotiť:
 

ty si to cele pleties.https nehovori nic o tom, ze stranka je bezpecna.hovori len o tom, s kym komunikujes.pokojne ti moze aj https://gooogle.com poslat link na stiahnutie malwaru.
Odpovedať Hodnotiť:
 

Nechcem sa s tebou hadat, lebo mas na to specificky pohlad, ale pri https, ked je stranka oznacena za nedoverihodnu a v skutocnosti je doverihodna, neznamena to, ze ked je stranka oznacena ako doverihodna tak moze byt nedoverihodna (bavime sa o sifrovani, nie obsahu). A k tvojej uvahe vyssie, taky priklad: ked teraz niekto zamyka dvere a niekto nie, a neskor budu zamykat vsetci, nebude to to iste ako keby nikto nezamykal...
Odpovedať Hodnotiť:
 

sora,zle vlakno :D

Odpovedať Hodnotiť:
 

ak ma web https a prehliadac ho oznacil za doveryhodny, znamena to tolko:

web ma platny certifikat podpisany certifikacnou autoritou, ktorej tvoj prehliadac doveruje.
web je ten za koho sa vydava, teda https://tvojabanka.com nie je mnou podsunuta stranka tvojej banky aby som ti ukradol udaje (keby som ti kvoli zranitelnosti v routri napr. zmenil DNS)
komunikaciu medzi webom a tebou (pravdepodobne) nikto nedokaze precitat, pokial nema potrebne privatne kluce (ak webmaster strati privatne kluce, prve co spravi je, ze zneplatni certifikat, vygeneruje nove kluce a novy certifikat).

na druhej strane web, ktory je oznaceny ako nedoveryhodny, moze byt kludne doveryhodny, ale istotu mat nebudes. moze to byt kludne moj server ktory ti namiesto obsahu bude dodavat jeden mallware za druhym.
Odpovedať Hodnotiť:
 

wow. just wow.
Odpovedať Hodnotiť:
 

Janka Hospodarova je v cajku, heslo na wikipedii zabezpecene https protokolom.

http://dopice.sk/icA

len sa obavam ze dopice.sk pojde dopice

a v skratenom linku zda sa chyba jedno pismeno
Odpovedať Známka: 5.0 Hodnotiť:
 

Veď heslo na Wikipédii vôbec neobsahovalo ten najpodstatnejší prínos! Ako je možné opomínanie tlače cez wifi?! Čo to tam majú za adminov?!
Odpovedať Hodnotiť:
 

Revízia 6359668 používateľa Contexterr (diskusia) bola vrátená: diskusná fikcia na bezvýznamnom sajte skutočne nie je relevantný zdroj)
Odpovedať Hodnotiť:
 

Šak čo,veľký sestra ničí konkurenciu..Vždy sa hrá na dobrého pomocníka..A to hlavne tajných služieb..Na smetisko dejín celú firmu!
Odpovedať Známka: 10.0 Hodnotiť:
 

Najvtipnejsie na tom je, ze pre https domenu by mat web kazdu zvlast IP a druhy vacsi vtip je vyssi narok na CPU pre sifrovanie, takze sa da vytvorit efektivnejsi utok len requestami,pokial teda poskytovatel bude chciet zachovat pocet spojeni ako pri nesifrovanom webe.
Odpovedať Hodnotiť:
 

meh, aj na SSL uz mozes mat pekne dlhu dobu viac domen na jednej IP...
Odpovedať Hodnotiť:
 

Mnooo... Je kopa bláznov čo fičia na XP s IE 6...
Odpovedať Hodnotiť:
 

Ja idem do prdele chalani ...HTTP stránky označí ako nebezpečné, kokos vám musí je**ť chalani fakt, vám musí je**ť.
Odpovedať Známka: 5.7 Hodnotiť:
 

Strasna vec ten vyvoj co? Toto by sa za zlatych komunistov nestalo! Https nikoho neobtazovalo a mlieko stalo 2 koruny!
Odpovedať Známka: -2.0 Hodnotiť:
 

Mlieko tolko stoji aj dnes. Sucasne € je + - 3x "silnejsie" ako koruna v 89tom.Chleba stal 6Kcs dnes 2 €, mlieko plnotucne 3.1 dnes 0.8-1€,skodovka 105L 36k dnes ta lacnejsia 10-12.Len dovolenky, energie a zubary boli zadarmo ;-)
Odpovedať Známka: 6.7 Hodnotiť:
 

ee, Skodovka stala raz tolko. Ta nasa 120L '83 bola za 62k

a Horalky isli po 0.34 Kcs ak mi memory dobre sluzi
Odpovedať Hodnotiť:
 


Ako sa to dá zapnúť už teraz, prosím?
Odpovedať Hodnotiť:
 

chrome://flags
Označenie nezabezpečených zdrojov ako Nezabezpečené
Mark non-secure origins as non-secure
Odpovedať Hodnotiť:
 

Nechapem preco prehliadace hlasia ako nezabezpecene slovenske stranky konkretne freemaily, ked je tam jasne zapnuty SSL
Odpovedať Známka: 5.0 Hodnotiť:
 

napr?
Odpovedať Hodnotiť:
 

Zoznam, Post, Centrum ide jednozačne cez HTTP.
Odpovedať Hodnotiť:
 

aj Azet... pritom tam clovek pri prihlaseni ma SSL zakliknute "zap.", je to zahada, vsak si to overte user.centrum.sk
Odpovedať Hodnotiť:
 

Ale občas ma to vytáča. Prihlásiť sa na hotely či letisku na free wifi. Samozrejme moja domovská stránka je presmerovaná na stránku poskytovateľa pre schválenie podmienok používania ale chrome ju odmietne zobraziť a tak idem na dsl.sk čo nemá certifikát. Potvrdím podmienky poskytovateľa a už môžem konečne ísť na google.com... Rozmýšľam či sa na budúce z chrome prihlásim na domáci rooter...
Odpovedať Známka: 10.0 Hodnotiť:
 

kup si certifikat na 192.168.*.*
Odpovedať Známka: 10.0 Hodnotiť:
 

Tej potvrdzovacej stránke sa nadáva Captive portal. To, že nemá platný cert, je ale lajdácka konfigurácia AP na strane toho hotela, nie problém Chrome.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár