Η Google έχει κάνει ένα σημαντικό βήμα προς τη βελτίωση της ασφάλειας του διαδικτύου στο Chrome, αναβαθμίζοντας αυτόματα μη ασφαλή αιτήματα HTTP σε αιτήματα HTTPS για το 100% των χρηστών.
Δείτε επίσης: Chrome: Πλαστή ενημέρωση εγκαθιστά κακόβουλο λογισμικό
Αυτή η λειτουργία ονομάζεται “HTTPS-Upgrades” και θα προστατεύει παλιούς συνδέσμους που χρησιμοποιούν το http://, προσπαθώντας αυτόματα να συνδεθεί πρώτα στο URL μέσω του κρυπτογραφημένου πρωτοκόλλου https://.
Μία περιορισμένη εφαρμογή αυτής της λειτουργίας στο Google Chrome ξεκίνησε τον Ιούλιο, αλλά από τις 16 Οκτωβρίου, η Google την έχει πλέον διαθέσει σε όλους τους χρήστες στον Σταθερό κανάλι της.
“Την περασμένη εβδομάδα ενεργοποιήσαμε αυτόματα το HTTPS-Upgrades αι αυτή τη στιγμή το εφαρμόζουμε σε όλες τις σταθερές εκδόσεις”, αναφέρει η ενημέρωση από τον υπεύθυνο της Διαχείρισης Προγραμμάτων Μηχανικής της Google, Chris Thompson.
Η λειτουργία είναι μια δυνατότητα του Google Chrome που αυτόματα αναβαθμίζει όλες τις κύριες πλοηγήσεις σε HTTPS, την ασφαλή έκδοση του πρωτοκόλλου μεταφοράς υπερκειμένου (HyperText Transfer Protocol), εξασφαλίζοντας ταχεία επιστροφή σε HTTP αν αυτό είναι απαραίτητο.
Ιστορικά, οι περιηγητές συχνά έκαναν μη ασφαλείς αιτήσεις HTTP σε ιστότοπους που μπορούσαν να υποστηρίξουν το HTTPS. Είτε αυτό οφείλεται στο γεγονός ότι οι χρήστες κάνουν κλικ σε παλιούς συνδέσμους είτε επειδή το περιεχόμενο στις ιστοσελίδες δεν έχει αναβαθμιστεί για να χρησιμοποιεί το νέο πρωτόκολλο, οι συνδέσεις μέσω του πρωτοκόλλου HTTP δεν είναι κρυπτογραφημένες και μπορούν να παρακολουθηθούν για να κλαπούν διαπιστευτήρια ή άλλα ευαίσθητα δεδομένα.
Σύμφωνα με την Google, αυτό μπορεί επίσης να συμβεί φορτώνοντας πόρους HTTP από:
- Μία ιστοσελίδα που χρησιμοποιεί HSTS (HTTP Strict Transport Security) για πρώτη φορά.
- Προσπέρασμα ενός ιστότοπου που προεπιλέγει το HTTPS αλλά δεν χρησιμοποιεί το HSTS, ή
- Επίσκεψη σε μια ιστοσελίδα που υποστηρίζει και το πρωτόκολλο HTTPS και το HTTP χωρίς αυτόματη ανακατεύθυνση στο HTTPS.
Σε κάθε περίπτωση, η ιδιωτικότητα και η ασφάλεια των χρηστών παραβιάζονται μέσω περιττών μη ασφαλών συνδέσεων. Αυτό το πρόβλημα παρουσιάστηκε σε διάφορες ρυθμίσεις και μπορεί να επηρεάσει πολλά αιτήματα.
Δείτε ακόμα: IP Protection: Η λειτουργία Google Chrome αποκρύπτει τις διευθύνσεις IP
Οι υπάρχουσες μεθόδοι για την επιβολή του HTTPS, όπως ο κατάλογος προεπιλογής HSTS ή οι χειροκίνητα συντηρούμενοι κατάλογοι αναβαθμίσεων, έχουν περιορισμούς. Είτε απαιτούν περίπλοκες και αμφίβολες ρυθμίσεις, είτε εξυπηρετούν μια περιορισμένη γκάμα ιστότοπων. Επιπλέον, η διατήρηση μιας ενημερωμένης λίστας ιστότοπων που υποστηρίζουν HTTPS μπορεί να αποτελέσει πρόκληση και να απαιτεί μεγάλο εύρος ζώνης, με αποτέλεσμα συχνά ξεπερασμένες πληροφορίες να φτάνουν στους χρήστες.
Με αυτήν την ενημέρωση, το Chrome στοχεύει να αναβαθμίσει αυτόματα τους εσωτερικούς συνδέσμους HTTP σε HTTPS, εφαρμόζοντας έναν γρήγορο μηχανισμό επιστροφής σε HTTP αν χρειαστεί.
Παρόλο που περιορίζει την έκθεση σε παθητικούς επιτιθέμενους, οι ενεργοί επιτιθέμενοι μπορεί να εμποδίσουν τη διαδικασία αναβάθμισης. Σημαντικό είναι ότι αυτή η αλλαγή μπορεί να μειώσει το κίνητρο των προγραμματιστών να διορθώσουν αναφορές HTTP.
Ωστόσο, με δεδομένη την τρέχουσα τάση να επισημαίνονται οι HTTP σελίδες ως “Μη ασφαλείς“, αυτή η αναβάθμιση αποτελεί μια προληπτική μέτρηση για την προστασία των χρηστών, ειδικά σε ιστότοπους που πιθανότατα δεν θα ενημερωθούν σε HTTPS.
Δείτε επίσης: Google Chrome: 6 τρόποι για να το χρησιμοποιήσετε εκτός σύνδεσης
Οι δυνητικές ευπάθειες στα χαρακτηριστικά ασφάλειας σύνδεσης του Google Chrome μπορούν να περιλαμβάνουν την απειλή της κλοπής πιστοποιητικών SSL. Αυτό συμβαίνει όταν κακόβουλοι χρήστες καταφέρνουν να αποκτήσουν πρόσβαση σε έγκυρα πιστοποιητικά SSL και να τα χρησιμοποιήσουν για να προσποιηθούν ως έγκυρες ιστοσελίδες. Αυτό μπορεί να οδηγήσει σε απάτη και κλοπή προσωπικών πληροφοριών των χρηστών.
Μια άλλη πιθανή ευπάθεια είναι η απειλή των κακόβουλων επεκτάσεων. Οι επεκτάσεις του Google Chrome μπορούν να παρουσιάζουν κινδύνους αν δεν ελέγχονται κατάλληλα. Κακόβουλες επεκτάσεις μπορούν να παρακολουθούν την κίνηση των χρηστών, να κλέψουν προσωπικές πληροφορίες ή να παρεμποδίσουν την ασφαλή σύνδεση με ιστοσελίδες.
Επιπλέον, οι επιθέσεις Man-in-the-Middle (MITM) αποτελούν μια ακόμα πιθανή ευπάθεια. Σε αυτές τις επιθέσεις, ο κακόβουλος χρήστης εισέρχεται ανάμεσα στη σύνδεση του χρήστη και της ιστοσελίδας που επισκέπτεται. Αυτός ο επιτιθέμενος μπορεί να παρακολουθεί, να αλλοιώνει ή να κλέβει τις πληροφορίες που ανταλλάσσονται μεταξύ του χρήστη και της ιστοσελίδας, προκαλώντας σοβαρές απειλές για την ασφάλεια των συνδέσεων.
Τέλος, οι ευπάθειες στην ασφάλεια των προεπιλογών ρυθμίσεων του Chrome μπορούν να αποτελέσουν πρόβλημα. Αν οι ρυθμίσεις δεν είναι σωστά διαμορφωμένες ή αν δεν εφαρμόζονται σωστά, μπορεί να υπάρξουν ευπάθειες που θα επιτρέψουν σε κακόβουλους χρήστες να παρεμποδίσουν την ασφαλή σύνδεση ή να προσπελάσουν τις προσωπικές πληροφορίες των χρηστών.
Πηγή: bleepingcomputer
