Google, kullanıcıların% 100'ü için HTTPS isteklerine otomatik olarak güvensiz HTTP isteklerini otomatik olarak yükselterek krom internet güvenliğini artırmaya yönelik önemli bir adım attı.
Bu özelliğe https-upgrades denir ve https: // protokolü üzerinden otomatik olarak URL'ye bağlanmaya çalışarak http: // kullanan eski bağlantıları güvence altına alacaktır.
Google Chrome'daki bu özelliğin sınırlı bir şekilde piyasaya sürülmesi Temmuz ayında başladı, ancak 16 Ekim itibariyle Google, bunu istikrarlı kanaldaki tüm kullanıcılara sundu.
Google Engineering Program Yönetim Lideri Chris Thompson'dan bir güncelleme "Geçen hafta HTTPS-upgrades'i varsayılan olarak gövde olarak etkinleştirdik ve şu anda% 100 istikrarlı olarak piyasaya sürüldük."
HTTPS-upgrades, gerektiğinde HTTP'ye hızlı bir geri dönüş sağlarken, tüm ana çerçeve navigasyonlarını HTTPS'ye otomatik olarak yükselten HTTPS'ye otomatik olarak yükselten bir Google Chrome özelliğidir.
Tarihsel olarak, tarayıcılar HTTP'leri destekleyebilen sitelere genellikle güvensiz HTTP istekleri yaptılar.
Kullanıcıların eski bağlantıları tıklamasından kaynaklanıyor veya web sitelerindeki içerik yeni protokolü kullanmak için yükseltilmediğinden, HTTP protokolü üzerindeki bağlantılar şifrelenmez ve kimlik bilgilerini veya diğer hassas verileri çalmak için gözetlenebilir.
Google, bunun HTTP kaynaklarını şu şekilde yükleyerek de olabileceğini söylüyor:
Her durumda, kullanıcıların gizliliği ve güvenliği gereksiz güvensiz bağlantılarla tehlikeye atılır. Bu sorun çeşitli konfigürasyonlarda devam etti ve potansiyel olarak birçok talebi etkiledi.
HSTS ön yük listesi veya manuel olarak küratörlü yükseltme listeleri gibi HTTP'lerin uygulanması için mevcut yöntemlerin sınırlamaları vardır. Karmaşık ve riskli kurulumlar içerir veya sınırlı bir dizi siteye hitap ederler.
Ayrıca, HTTPS destekli sitelerin güncel bir listesini korumak zor ve bant genişliği yoğun olabilir ve genellikle modası geçmiş bilgilere ulaşan kullanıcılara yol açabilir.
Bu güncelleme ile Chrome, HTTP'lere sayfa içi HTTP bağlantılarını otomatik olarak yükseltmeyi ve gerekirse HTTP'ye hızlı bir geri dönüş mekanizması uygulamayı amaçlamaktadır.
Tarayıcı ayrıca, otomatik yükseltmeleri önlemek için HTTP ve HTTPS'de farklı içerik servis eden web sunucularına izin veren bir devre dışı bırakma başlığına da saygı gösterebilir.
Bu davranış, özellikle ana çerçeve navigasyon isteklerinin yükseltilmesi ve yükseltilmiş isteklerde ağ hatalarının işlenmesi ile ilgili olarak getirme spesifikasyonunda değişiklikler gerektirecektir.
Yükseltme, göz atmanın çeşitli yönlerini etkiler:
Bu otomatik yükseltme indirimleri önlemese de, mevcut normdan daha az güvenlik sunmaz.
Aktif saldırganlar yükseltme sürecini engelleyebilse de, pasif saldırganlara maruz kalmayı sınırlar. Önemli olarak, bu değişiklik geliştiricilerin HTTP referanslarını düzeltme motivasyonunu azaltabilir.
Bununla birlikte, HTTP sayfalarını "güvenli değil" olarak işaretleme eğilimi göz önüne alındığında, bu yükseltme, özellikle HTTPS'ye güncellenmesi muhtemel olmayan sitelerde kullanıcıları korumak için proaktif bir önlemdir.
Google Chrome'un yeni "IP koruması" kullanıcıların IP adreslerini gizleyecek
Google Chrome Organize sekmeleri sekmeleri otomatik olarak yeniden sipariş eder
Google, saldırılarda sömürülen başka bir krom sıfır gün hatasını düzeltir
Google, reklamlar için krom tarama geçmişini kullanmak için gizlilik sanal alanını sunar
Google, herkes için krom gerçek zamanlı kimlik avı korumasını etkinleştiriyor
Kaynak: Bleeping Computer