谷歌浏览器新特性,2017年起将把HTTP网站标记为不安全

2016-09-24, 发表于【行业常识】

谷歌近日决定,从2017年1月份起,Chrome浏览器将会把采用HTTP协议的网站标记为“不安全”网站。


实际上,在2015年12月,谷歌就已经宣布采用HTTPS加密协议的网站将会在搜索结果中优先显示,但效果并不好,很多网站依然没有改成使用HTTPS协议。

谷歌称,我们计划将HTTP网站更清晰,更准确的标记为不安全网站,根据日益加强的标准,我们将逐渐推进这一计划。我们将从2017年1月开始在Chrome 56中将涉及密码或信用卡表单的HTTP网站标记为‘不安全’,因为它们经常会遭到攻击。谷歌还特别指出,最终当用户访问HTTP网站时,Chrome将会显示出红色三角警告符号。

虽然没有使用HTTPS协议并不代表网站真的存在问题,但这些网站管理者原本可以让网站更安全,可是他们并不愿意这么做。

那么,为什么谷歌等业界巨头要这么做呢?虽然不是什么神奇力场,https变得尤为重要还是有很多原因的:

身份验证:基本上,https创建客户计算机浏览器会话和网站之间的加密隧道,防止了二者之间的通信被窃听。这就减少了通过重定向用户到虚假网站实施中间人网络钓鱼攻击的机会。

数据安全与合规:使用https,意味着计算机和网站间的数据传输是加密的,包括口令和信用卡账号。大体上,这能阻止黑客嗅探通过公共WiFi之类的连接所发送的数据。

支付卡行业数据安全标准( PCI DSS )也要求所有卡片数据通过SSL或TLS加密连接传送,因此,https数年前就已经是电子商务网站的标准了。

隐私:这是最近兴起的关注点,但使用https还是能带来一些(此处重读说三遍)监视下的隐私。查看用户访问网站的人(比如传说中的某机构),依然会知道用户在访问哪些具体域名,因为域数据是明文传输的,但他们没那么容易得知网站的哪些内容被读取了。