Żeby zrealizować niedawne obietnice o „kolejnym kroku ku bezpiecznemu internetowi”, inżynierowie Google powinni być już na finiszu wdrażania aktualizacji Chrome do 56. wersji. To ważne, zwłaszcza dla właścicieli stron WWW i e-sklepów. Nowa wersja przeglądarki ma bowiem dobitnie sugerować, że korzystanie z protokołu https jest wskazane. Te wskazówki mają być na tyle czytelne, że… strony internetowe niekorzystające z tego rozwiązania mogą zostać wręcz znakowane jako „niezabezpieczone”. To z pewnością zniechęci internautów do odwiedzania tak oznaczonej witryny.

Zawsze czujni

Google codziennie sprawdza miliard URL-i w poszukiwaniu niebezpiecznych stron internetowych. Codziennie wykrywanych jest tysiące zagrożeń dla użytkowników – wyłudzające informacje oraz ze złośliwym oprogramowaniem. Od dawna, przed wejściem na niebezpieczną stronę, w przeglądarce pojawia się duży czerwony komunikat. Nie sposób przeoczyć taką informację.

 

ostrzeżenie w Chrome

Rys. 1: Ostrzeżenie przed wejściem na niebezpieczną stronę WWW

Warto zauważyć, że komunikat ten pojawiał się wyłącznie wtedy, gdy strona już została zaatakowana lub przejęta przez osoby trzecie.

Natomiast po najnowszej aktualizacji Chrome, przeglądarka będzie informować nie tylko o stwierdzonych zagrożeniach, ale także tych… potencjalnych. Strony obsługiwane przez protokół http, a zbierające hasła i dane kart kredytowych  będą tagowane jako „not secure” (w Polsce prawdopodobnie „niezabezpieczona”). Przeglądarka będzie zatem powiadamiać użytkowników, że odwiedzana witryna nie jest wyposażona w certyfikat SSL i połączenie może nie być bezpieczne. Etykieta pojawiać się ma w pasku adresu WWW, czyli tuż obok nazwy witryny. Wyglądać to może w ten sposób:

ostrzeżenie w Chrome 56

Rys. 2: Etykieta „Not secure” w pasku adresu strony w przeglądarce Chrome

 

Dla porównania, tak etykietowane są już bezpieczne strony:

 

strona bezpieczna w Chrome

Rys. 3: Etykieta „Bezpieczna” w pasku adresu strony w przeglądarce Chrome

 

Według zapowiedzi z ubiegłego roku update Chroma do wersji 56. ma zacząć działać do końca stycznia. Komunikat, który w drugiej połowie miesiąca Google wysyłało właścicielom stron internetowych, wyglądał tak:

 

1-min

 

HTTP a HTTPS – różnice. Szybka powtórka

Przypomnijmy, że protokół http to najprostszy sposób odbierania i nadawania informacji w Internecie. Nie zapamiętuje poprzednich sesji przeglądarki. Nie określa też, w jaki sposób dane z punktu A dotarły do punktu B. I o ile zaletą tego rozwiązania jest konieczność przesyłu mniejszej ilości danych, tak nie wykorzystuje żadnej warstwy bezpieczeństwa.

Https z kolei jest bezpieczny, ponieważ używa protokołu SSL do przenoszenia danych z przeglądarki do serwera WWW. Mówiąc prościej: dzięki zastosowanym rozwiązaniom SSL utrudnia się lub uniemożliwia wykradanie danych osobowych użytkowników przez hakerów. Tym samym podawane informacje – imię, nazwisko, dane karty kredytowej czy adres – są strzeżone przed kradzieżą.

Informacja o posiadanym certyfikacje SSL jest zatem nie tylko poświadczeniem stosowania rozwiązań podnoszących bezpieczeństwo, ale także po prostu świadectwem wiarygodności witryny.

Czy strony instytucji publicznych są bezpieczne?

Dla właścicieli stron internetowych, świadomych konieczności ochrony danych użytkowników, decyzja o przeniesieniu witryny z http do https powinna być naturalnym krokiem – choć będzie wymagać trochę pracy i pieniędzy. To się jednak opłaci. W końcu użytkownik, który uważa sklep internetowy za bezpieczny, chętniej dokona zakupu. Z kolei który z użytkowników Chrome kupi cokolwiek w e-sklepie oznaczonym jako „niezabezpieczony”?

Nie jest także tajemnicą, że witryny korzystające z szyfrowania SSL mają większe szanse pojawić się wyżej w wynikach wyszukiwania (choć jak na razie wg Google „bonus” dla stron z https jest niewielki). Więcej na ten temat przeczytasz tu.

Warto jednak wiedzieć, że z czasem ostrzeżenia mają być wyświetlane przy wszystkich witrynach, które nie przerzucą się na protokół https. Dotyczyć to będzie więc także blogów, za których pośrednictwem zbierane są adresy e-mail do newsletterów czy docelowo także stron, które nie zbierają żadnych danych.

– Nowe ostrzeżenie stanowi element pierwszej fazy długoterminowego planu mającego na celu oznaczenie wszystkich stron, które obsługują bezszyfrowy protokół HTTP, jako niezabezpieczonych – pisali przedstawiciele Google w oficjalnym komunikacie.

Zatem – gdyby zmiany zostały wprowadzone już dziś i objęły wszystkie strony obsługiwane protokołem http – wyraźne informacje o braku zabezpieczeń pojawiłyby się chociażby nad witryną Centralnej Ewidencji Pojazdów i Kierowców oraz Głównego Urzędu Statystycznego. Dziś takie informacje również są wyświetlane, ale dyskretniej.

 

strona cepik

Rys. 3: informacje na stronie CEPiK w Chrome

I jeszcze jeden przykład:

 

gus

Rys. 4: informacje na stronie GUS w Chrome

 

Ważny krok w stronę internautów

Trzeba zauważyć, że o ile nowe etykiety przy adresach stron mogą stać się solą w oku właścicieli stron WWW, tak dla użytkownika jest to bardzo dobrą wiadomością. Zwiększenie uwagi na zjawisko braku szyfrowania danych prawdopodobnie zwiększy świadomość internautów związaną z potencjalnymi zagrożeniami udostępniania danych osobowych w sieci.

 

współpraca: Maciej Dobkowicz