Команда, отвечающая за безопасность в проекте Chromium, предлагает перейти к явной маркировке HTTP-сайтов как небезопасных. По их мнению, это должно помочь более явно продемонстрировать пользователю, что HTTP-трафик не обеспечивает сохранность передаваемых данных. План по переходу на новую логику браузера Google Chrome будет представлен в 2015 году.
Согласно логике разработчиков, любой браузер или любое другое приложение, работающее по HTTP(S), должно явно уведомлять пользователя о том, что все передаваемые им данные не зашифрованы и могут быть перехвачены посредником.
Сейчас можно выделить три типа соединений с точки зрения шифрования:
- Безопасное соединение (валидный HTTPS)
- Сомнительное (валидный HTTPS с HTTP-вставками контента или с минорными TLS-ошибками)
- Небезопасное (невалидный HTTPS или HTTP)
На данный момент все браузеры явно указывают лишь на статус HTTPS-соединения. В то время как о гарантированно незащищенном соединении через HTTP пользователей вообще не предупреждают.
На данный момент это лишь предложение, и все заинтересованные стороны могут принять участие в его обсуждении. Предлагается следующий план для постепенно перехода:
- Небезопасные ресурсы никак не маркируются (сейчас это именно так и работает)
- Небезопасные ресурсы маркируются "сомнительными"
- Небезопасные ресурсы маркируются "небезопасными"
- Безопасные ресурсы больше никак не маркируются
Т.е. в конечном счете, предлагается перейти от маркировки безопасных к маркировке небезопасных. HTTPS-сайты должны в этом случае стать стандартом де-факто. И уже не важно, это сайт Сбербанка или просто Башорг.
Для тех, кто дочитал этот скучный текст, вопрос: "Насколько это важно? Не добавит ли это проблем и расходов для вебмастеров, ведь SSL-сертификаты нынче стоят денег (хотя Mozilla обещает раздавать их бесплатно) и дополнительных ресурсов?".
UPD. Продолжение истории с дизайном предупреждений можно найти здесь.
P.S. Несколько интересных мнений с Хабра:
