Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS

    Один из членов команды разработки Google Chrome, Эмили Старк, сообщила через Твиттер, что в бета-сборку Chrome Canary, а также в Dev-версию браузера будет добавлен экспериментальный флаг "#omnibox-default-typed-navigations-to-https".

    Для указанных сборок флаг "#omnibox-default-typed-navigations-to-https" будет включен по умолчанию. Также новая функция будет добавлена в выпуск 89, релиз которого намечен на завтра, 02.03.2021 г.

    Часть пользователей версии 89 получат флаг "#omnibox-default-typed-navigations-to-https" включенным по умолчанию, в рамках тестирования новой функции. Если испытания пройдут успешно, новый флаг использования HTTPS вместо HTTP, будет включен по умолчанию для всех пользователей начиная с версии 90.

    Подобные изменения укладываются в парадигму политики повышения безопасности соединений при посещении веб-ресурсов и сайтов пользователями браузера. Сейчас подключение происходит через HTTP с автоматическим перенаправлением на HTTPS, если таковое подключение поддерживается сайтом.

    Принудительное подключение сразу по HTTPS вместо незащищенных запросов по HTTP с последующим перенаправлением на шифрованное соединение, позволит повысить безопасность пользователей в сети. Использование HTTP считается сейчас архитектурным архаизмом, из-за того, что адресная строка браузеров до сих пор трансформирует вводимый текст в формат "http://web-site" вместо того, чтобы обращаться сразу по HTTPS. От этого пока не смогли отказаться, однако в целом, веб уже созрел для изменений: подавляющее большинство современных веб-сайтов уже работают через HTTPS-соединение.

    Команда Chrome и инженеры по безопасности Google не являются в этом вопросе первопроходцами. В 83 сборке Firefox был включен специальный режим "HTTPS Only", который также отсекает в цепочке "ввод адреса-соединение-переход на сайт" незащищенный HTTP-запрос. В Firefox, если сайт поддерживает только HTTP, по истечению таймаута подключения по HTTPS пользователю возвращалось окно с ошибкой и предупреждением о небезопасности посещения указанной страницы. С нее же можно выполнить принудительный переход на сайт с использованием протокола HTTP.

    Дата-центр «Миран»
    Решения для аренды и размещения ИТ-инфраструктуры

    Комментарии 10

      0

      Удивлен, что даже в Firefox все еще сначала подключение идет по HTTP, если явно не указан HTTPS. Либо сам вручную прописывай, либо врубай режим https-only (тогда на мобилке не будет опции исключения сайта), либо ставь расширение-костыль HTTPS Everywhere, которое whitelist-based.


      Идеальным решением на текущий момент было бы из коробки сначала пробовать HTTPS, а уже потом HTTP.

        0
        Я другого не понимаю, почему люди, настраивая https, не делают сразу же перенаправление с http на https.
          +1
          Это бесполезное занятие. Это должно быть сделано на стороне браузера, чтобы соединение изначально было зашифрованным. Поэтому сейчас браузеры и начали внедрять зашифрованные DNS и HTTPS по дефолту, чтобы ни один пакет данных не был отправлен по HTTP.

          При отправке данных по HTTP и не зашифрованному DNS, ваш провайдер (и все желающие) получат всю информацию по посещенной странице.
            +3

            Делают же, почти везде так. Только вот этот первый http-запрос в итоге можно заMITMить.

              0

              HSTS preload тоже давно существует.

            0
            Вы наверное не знали, что режим «только HTTPS» в Firefox доступен уже около нескольких месяцев в стабильной ветке или ещё дольше в ночных сборках.

            И работает этот режим так, что если у сайта нет HTTPS версии, браузер вас об этом уведомит и даст возможность посетить HTTP версию
              0
              либо врубай режим https-only (тогда на мобилке не будет опции исключения сайта)

              На ПК — да, он работает нормально. Но на мобилке этот режим можно включить только в бета-версии через about:config, который недоступен в релизе. А когда включил — то при посещении, условно, lib.ru, показывает либо "the connection was reset", либо она на страницу зайти нельзя, но кнопки "войти все равно" нету.

                0
                Вероятнее всего и в Chrome речи о мобильном сегменте не идёт. Проверить Chrome не могу. Напишите если я не прав
            +1

            И даже без исключения для local host? Блин

              0
              И там еще Chrome больше не даёт качать файлы по http с https сайтов. Класс, да?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое