Без лишней шумихи вышла 70‐я версия браузера Google Chrome. Это знаковый релиз из‐за важного нововведения, о котором предупреждали ещё в начале года: строка ввода адреса теперь иначе сигнализирует о защищённости сайтов.

Что происходит с сайтами

Количество интернет‐проектов, использующих безопасный протокол обмена данными HTTPS, постепенно увеличивается. Однако, если судить по статистике сервиса Alexa, среди миллиона самых посещаемых сайтов больше половины используют только устаревший HTTP. Любой злоумышленник, подключившийся к вашей сети, может перехватить трафик между таким ресурсом и ПК, украв или подменив данные.

Количество защищённых сайтов растет (источник - Statoperator).

Количество защищённых сайтов растет (источник – Statoperator).

Чтобы пользователи лучше понимали, на каком интернет‐ресурсе нежелательно вводить чувствительную информацию, корпорация Google изменила поведение популярного браузера.

Как изменилась индикация в адресной строке

Теперь сайты, открывающиеся по протоколу HTTP в Google Chrome, помечаются как небезопасные.

Надпись "Не защищено" в адресной строке

Надпись «Не защищено» в адресной строке

Если на странице присутствуют поля ввода логина и пароля, индикация становится агрессивнее – текст надписи «Не защищено» окрашивается красным.

Красная надпись "Не защищено" в адресной строке браузера Google Chrome

Красная надпись «Не защищено» в адресной строке браузера Google Chrome

А значок использования HTTPS на тех ресурсах, чьи админы и разработчики позаботились о безопасности, стал неприметным. Теперь это индикатор того, что сайт работает нормально, ничего более.

Индикатор HTTPS стал неприметным в Google Chrome

Индикатор HTTPS стал неприметным в Google Chrome

Для сравнения: в Mozilla Firefox агрессивной надписи в адресной строке нет. Возможно, поведение изменится, потому что именно Chrome сейчас задаёт курс развития браузеростроения, остальным нужно подтягиваться.

Mozilla Firefox не предупреждает об опасности открытия сайтов по HTTP

Mozilla Firefox не предупреждает об опасности открытия сайтов по HTTP

Зачем Гугл так поступил

Корпорация считает, что защищённый протокол должен стать обыденностью, и я такой метод всецело поддерживаю. Подключения к сайтам, чьи адреса начинаются с http://, должны априори считаться небезопасными.

Для владельцев сайтов это означает, что нужно быстрее переводить свои проекты на HTTPS. 

Все современные CMS и серверный софт – Apache, Nginx, Node.js и др. давно умеют работать по защищённому протоколу. Даже сертификаты покупать не нужно – бесплатный Let’s Encrypt прекрасно справляется, обеспечивая стойкое шифрование десятков миллионов сайтов.

Статистика использования сертификатов LE

Статистика использования сертификатов LE

Если вы только начали задумываться о создании собственного сайта, советую прочесть мои размышления о подборе хостинга и серверной панели Webinoly, облегчающей установку и настройку сайтов.

Никаких открытий я не делаю, но хотя бы начнёте понимать, на что следует смотреть при выборе сервера и как можно управлять его софтом.

Увы, HTTPS – не панацея

Несмотря на такое внимание к тому, как именно общаются сайты с пользователями, нельзя считать HTTPS лекарством от всех бед и тем более способом обеспечения приватности. Шифруются лишь передаваемые между браузером и сайтом данные, ничего больше. Закрывается лишь, пожалуй, самая уязвимая брешь в сетевой инфраструктуре. Просто потому, что давно пора.

  • Провайдер по‐прежнему может видеть, какие сайты посещаются, если не включить защиту DNS с помощью, например, DNSCrypt.
  • Плагины в браузере, будучи скомпрометированными злоумышленниками, могут подменить или украсть платёжную информацию, да и любую другую тоже.
  • Windows, если отказаться от обновлений безопасности и антивирусной защиты, также способна стать инструментом хакеров.
  • Сосед может подсмотреть в окне, что вы делаете за ПК.
  • И так далее.

То, что значки и надписи поменялись – элемент воспитательный, нацеленный на не сведущих в технических тонкостях пользователей.

Удачи, альтернативные браузеры!

Кто знал, что появившийся десять лет назад Гугл Хром c примитивным интерфейсом и без поддержки плагинов отвоюет более половины аудитории? Изначально в нём не было ни‐че‐го. Ни поддержки плагинов, ни тем оформления (кстати, зачем они нужны?), ни нормальных инструментов разработчика.

Упорство компании Гугл и энтузиастов открытого программного обеспечения дало свои плоды: движок Blink, бьющийся под капотом Хрома, работает неплохо, большинство современных «интернет эксплореров» использует именно его. Не знаю, насколько корректно называть это монополизацией, потому что движок Blink и Chrome – разные вещи. У Яндекс.Браузера, например, не так уж и много общего с Хромом, хотя оба открывают сайты одинаково, используя Blink. Но факт остаётся фактом: человечество понемногу движется к стандартизации способов открытия сайтов. И всё благодаря тому, что когда‐то родился Google Chrome.

Похожие записи: