Google:HTTPページを安全でないものとしてマークする

Chromium SecurityのWebサイトでは、Googleは、Webブラウザなどのユーザーエージェントが、すべてのプレーンなHTTP Webページを安全でないと判断する必要があるというコメントを提出しました。

Googleは、インターネット上でのSSL / TLSの使用を促進し、これらのプロトコルを強化するために積極的かつ積極的な立場を取ってきました。 2014年だけで彼らは

これらのすべてにおいて、彼らは他のベンダーよりもずっと前であり、おそらく顧客の大半は、これらのような基本的なプロトコルの変更に関しては非常にゆっくりと動く傾向があります。

Chromiumの提案におけるGoogleの主張は明白ではない:HTTPサイトはデータセキュリティをまったく提供しない。ユーザーにこれを警告するべきではありませんか?私たちは、オープンWi-Fiなどの暗号化が可能であるが提供されていない他のケースに対して警告するようにしました。しかし、これまでのアプローチでは、SSLサイトを明確に区別し、EV-SSL Webサイトの方がはるかに肯定的なものにしていました。

時には、最も深刻な解決策は、問題全体を変更することです。

欠点はおそらく厄介な経験です:間違いなくそこにある大部分のWebページはHTTPSでありHTTPSではありません。つまり、ユーザーは常に正常に見えるページについてセキュリティ警告を受けるようになります。これは自分のためだと言うこともできますが、多くのユーザーは混乱したり怖がったり、技術サポートを悩まされたりします。

私の本当の恐れは、セキュリティの警告が非常に一般的になり、ユーザーは無視することを学ぶということです。 Googleは、フィッシングサイトと同じように、ユーザーがこれらのページのいずれかに遭遇したときに大きな侵入警告を発するつもりはないため、ユーザーはアドレスバーの変更に注意を払うことなく細かい対応を取ることができます。

私はこのことについてGoogleに同情していますが、これは現時点ではまだ遠すぎると思います。私はすべての手段を取ってインターネットを自動的に確保しているが、これは上記の4つの提案でGoogleが提案したものである。すべてのHTTPページを安全でないものとしてマークすることは、依然としてユーザーが適切な決定を下すことに依拠しており、実際には悪いものを強化する可能性があります。

GoogleがChromeにこのような変更を加えるという堅実な宣言ではなく、これは試行錯誤であることを繰り返す価値があります。彼らはフィードバックを探しています。たとえそれが良い考えではないと思っても、私は彼らの行動に賞賛する必要があります。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

SHA-1ハッシュアルゴリズムの廃止に向けて、SHA-2に代わって迅速に廃止されるように強制されたSSLv3のサポートを廃止し、証明書失効の確認方法を導入しました。その標準的な方法は壊れている;彼らは彼らがHTTPSを使用するサイトの検索エンジンのランキングを押し上げることを示唆している

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応