Google: Markieren Sie HTTP-Seiten als unsicher

Auf der Website Chromium Security hat Google einen Vorschlag zur Kommentierung vorgelegt, dass Benutzeragenten wie Webbrowser alle normalen HTTP-Webseiten als unsicher markieren sollten.

Google hat eine durchsetzungsfähige und aggressive Haltung einnehmen, um die Nutzung von SSL / TLS im Internet voranzubringen und diese Protokolle zu stärken. Im Jahr 2014 allein haben sie

In all diesen Dingen haben sie anderen Herstellern und wahrscheinlich den meisten Kunden, die sich alle sehr langsam bewegen, wenn es um Änderungen in den grundlegenden Protokollen wie diesen geht.

Der Google-Punkt im Chromium-Vorschlag ist unbestreitbar: HTTP-Sites bieten keine Datensicherheit. Sollte der Benutzer nicht darauf hingewiesen werden? Wir haben vor anderen Fällen gewarnt, wo Verschlüsselung sein könnte, aber nicht vorgesehen ist, wie zB offene Wi-Fi. Aber der Ansatz bisher war, eine positive Unterscheidung für SSL-Sites, und eine noch positive für EV-SSL-Websites zu machen, anstatt die Aufmerksamkeit auf den Mangel an Sicherheit in einfachen alten HTTP zu ziehen.

Manchmal ist die tiefgreifendste Lösung, um das gesamte Problem zu ändern.

Der Nachteil ist wahrscheinlich die jarring Erfahrung: Zweifellos die große Mehrheit der Webseiten gibt es HTTP, nicht HTTPS. Das bedeutet, dass Benutzer anfangen, Sicherheitswarnungen über Seiten zu erhalten, die immer normal ausgesehen haben. Wir können sagen, dies ist für ihre eigenen gut, aber viele Benutzer werden verwirrt und / oder Angst und stören Tech-Support über sie.

Meine wirkliche Angst ist, dass Sicherheitswarnungen so häufig werden, dass die Benutzer nur lernen, sie zu ignorieren. Google ist nicht dabei, eine große interstitielle Warnung zu setzen, wenn der Benutzer auf einer dieser Seiten, wie sie mit Phishing-Sites zu tun, so dass die Nutzer in der Lage, sich gut bezahlt keine Aufmerksamkeit auf die Änderung in der Adressleiste.

Ich sympathisieren mit Google auf diesem, aber ich denke, dies ist ein Schritt zu weit zu diesem Zeitpunkt. Ich bin alle für die Aufnahme von Maßnahmen, die es gibt, um das Internet automatisch zu schützen, trotz der Nutzer, was ist, was Google in den vier bullet-Vorschlägen vorgeschlagen vorgeschlagen. Das Markieren aller HTTP-Seiten als unsicher baut immer noch auf den Benutzer, um eine gute Entscheidung zu treffen, und es ist in der Tat wahrscheinlich, schlechte zu verstärken.

Es lohnt sich zu wiederholen, dass dies nur ein Testballon ist, nicht eine feste Deklaration, dass Google solche Änderungen in Chrome setzen wird. Sie sind auf der Suche nach Feedback. Auch wenn ich denke, es ist keine gute Idee, ich muss ihre Handlungen bewundern.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

Beschleunigte den Zeitplan für den Ruhestand Unterstützung für SSLv3, eine Version, die wir jetzt wissen, dass sie unsicher durch Design, gedrückt für eine schnellere Abwertung der SHA-1 Hash-Algorithmus zu Gunsten von SHA-2, eingeführt ihre eigenen Methoden zur Prüfung für Zertifikat Widerruf, Argumentation Dass Standard-Methoden sind gebrochen, sie haben sogar vorgeschlagen, dass sie steigern Suchmaschinen-Rankings für Websites, die HTTPS verwenden

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog