В Google собираются маркировать все сайты, работающие по протоколу HTTP, как потенциально опасные. Нововведения вступят в силу летом нынешнего года.
Компания собирается оказать давление на web-разработчиков, стимулируя их перейти на использование HTTPS-шифрования. В Google объясняют такую инициативу стремлением обезопасить своих пользователей от потенциальных уязвимостей. Новый принцип маркировки сайтов будет введен в июле текущего года, когда выйдет версия Chrome 68.
Обновленный вид омнибокса после введения "небезопасного" URL
Эта практика уже дала свои плоды, поскольку 81 из 100 топ-сайтов интернета уже перешли на более защищенный протокол.
Статистика по безопасности трафика через браузер Chrome в зависимости от ОС
В Google сообщают, что свыше 68% трафика через браузер Chrome, установленный на устройствах с ОС Android и ОС Windows теперь защищено. Для операционных систем Chrome OS и Mac этот показатель еще выше – более 78% трафика считается безопасным. Таких результатов компания добилась все теми же изменениями в маркировке. В частности, в версии Chrome 56, вышедшей в январе прошлого года, иконка "Not sequre" появилась на HTTP-сайтах, передающих пароли, данные кредиток и пр.
Вид формы для отправки данных на HTTP-сайтах
Ну да, а что тут такого?
Да и новость уже давняя, и ни для кого не секрет, что http сайты опускаются в результатах поиска перед https.
А вот так (справа) по версии 146% россиян выглядит Google.
Не холивора для, но более лучшего понимания. Назови, пожалуйста, примеров, когда у Гугла что-то утекло или сломали и получили доступ к данным? Или когда Гугл что-то неправильно сделал с данными, выходящее за рамки пользовательского соглашения, где сказано только то, что информация может использоваться для чего-то другого, кроме релевантной рекламы?
https эт true. Тут спорить бесполезно. Надо ли помечать? Ну вот фиг знает. Кому легче от этой пометки станет? Чаще проблема не в протоколе,а в содержимом ресурса (вирусня и прочее, благо хоть только для виндов большей частью).
Проталкивать схему с принудительным https всяко надо, но вот пометки эти ИМХО врятли помогут.
Да вообще не понятно, зачем эта маркировка нужна. Где-то месяц назад Хром стал помечать https-сайты в адресной строке как "Защищено", а не как "Надежный". "Защищено" все-таки немного лучше чем "Надежный", но все равно создает у простого пользователя иллюзию, что на ресурсе, который получил бесплатный сертификат от Lets Encrypt, можно вводить любые данные и все будет ОК.
Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение. Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее?
Маркировка немного не для того служит. Задача маркировки - чтобы пользователь понял, что вводить что-либо, а особенно платежные данные и пароли там, где шифрования - это не ОК. Собственно, новость именно об этом. Более того,
в свое время они обещали, что когда-нибудь http вообще будут не бледным серым 'Not secure' помечать, как сейчас в новости, а большим, красным и страшным треугольником небезопасного соединения. А https, как я понимаю, вообще без всяких значков вида 'Защищено' и 'Надежно' оставят.
Чтобы не запутывать ситуацию и уменьшить вероятность того, что что-то (печенька какая-нибудь с авторизационным токеном) убежит по каналу без шифрования вместе с запросом на все эти шрифты и картинки.
Во избежание подмен содержимого. Сотовые операторы уже давно врезали в http страницы свой код (услуги типа "оптимизация трафика" и тд). С переменными результатами, отзывы можно на хабре поискать.
Вот прилетит специально подпиленный jQuery по http, а подпилен он будет точкой доступа wifi, которую кто-то поставил, с именем типа Free Wi-Fi. И будет оно слать содержимое всех полей ввода на странице на отдельный сервер. Мощности процессоров современных точек доступа для такой штуки уже вполне должно хватить.