Разработчики веб-браузера Google Chrome обещают пометить веб-сайты, которые используют простое HTTP-подключение с клиентом как небезопасные и предлагают всем другим веб-приложениям (User Agent) сделать то же самое. Таким образом, пользователям хотят дать понять, что это простое подключение не обеспечивает необходимого уровня безопасности при передачи данных. Предполагается, что теперь сам браузер будет различать типы безопасности подключения к серверу для уведомления об этом клиента: безопасное (Secure), сомнительное (Dubious) и небезопасное (Non-secure).
We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. We intend to devise and begin deploying a transition plan for Chrome in 2015.
Веб-подключения разделяются на три типа:
- Безопасное (Secure): подключение по HTTPS или localhost.
- Сомнительное (Dubious): подключение по HTTPS, но c т. н. mixed resources (содержит в теле веб-страницы ссылки на небезопасные ресурсы), а также HTTPS с ошибками в TLS.
- Небезопасное (Non-secure): подключение через нарушенный (невалидный) HTTPS или простой HTTP.
Для других вендоров веб-приложений (т. н. User Agent vendors) предлагается схема, по которой сайт можно отнести к тому или иному типу и поэтапно реализовать это в продукте см. здесь.
Автор: esetnod32
