您的网络浏览器如何何时安全地告诉您
谷歌上周阐述了在浏览网页时将使用安全专家的建议,以“寻找挂锁”的时间表。从7月开始,搜索巨头将在其市场主导的Chrome中标记不安全的URL,而不是那些已经安全的URL。谷歌的目标是什么?压力所有网站所有者采用数字证书并加密所有页面的流量。
标签HTTP网站的决定 - 那些没有用证书锁定的人,并且否则不要加密服务器到浏览器和浏览器到服务器通信 - 而不是标记更安全的HTTPS网站,并不无处可见。谷歌自2014年以来一直很有前途。
[进一步阅读:什么是最新的Chrome更新?]谷歌可能会占上风:Chrome的浏览器分享,现在以北为60%,几乎保证了。
安全专业人士称赞谷歌的竞选活动,以及可能的最终游戏。“我赢得了不得不告诉我的妈妈去寻找挂锁,”Switcheroo安全公司Sophos的首席研究科学家Chester Wisniewski表示。“她可以使用她的电脑。”
但是铬的竞争对手在做什么?走进步骤或坚持传统?Computerworld发起了大四铬,Mozilla的Firefox,Apple“S Safari和微软的边缘 - 找出答案。
苹果浏览器
Apple浏览器目前使用传统的标牌模型:它在地址栏中将一个小挂锁图标放在地址栏中,当一个页面受到数字证书和Mac和站点服务器之间的流量进行加密时。
没有挂锁?这意味着该网站不会加密流量。
然而,最近的浏览器版本在某些情况下采取其他步骤。如果用户在不安全的网站上 - 一个未锁定的证书和加密 - 并尝试将信息输入到登录字段或旨在接受信用卡号的人,Safari在地址中抛出红色文本警告栏开始不安全,然后更改为网站不安全。那些难以追溯的警报与澳门队的Safari版本首次亮相,这是3月29日发布的更新。(运行OS X 10.11(EL Capitan)或MacOS 10.12(Sierra)在同一天获得相同的功能,在Safari 11.1更新中获得相同的功能。)
苹果如果证书过时或非法,则此网站也应出现警告。
Firefox.
Mozilla的浏览器在一条类似于Google Chrome的路径上;它最终将使用独特的标记标记所有站点SANS CROGRYPTION。但Firefox还没有。
Mozilla.目前,Firefox显示了当用户到达包含用户名+密码登录组合的HTTP页面时具有红色触发线的挂锁。将光标放在其中一个字段中 - 单击一个字段,例如 - 添加读取此连接不安全的文本警告。这里输入的登录可能会受到损害。
否则,传统仍然在Firefox中规则:HTTPS网站标有地址栏中的绿色挂锁,而常规HTTP页面无标记。
虽然,Mozilla致力于逆转图标。“Firefox最终将显示所有锁定图标,以了解Don”T使用HTTPS [重点添加],以清楚地证明他们不安全,“分别写下Tanvi Vyas和Peter Dolanjski,安全工程师和产品经理,在一年前的博客帖子中。“随着我们的计划进化,我们将继续发布更新,但我们的希望是,这些变更鼓励所有开发人员通过HTTPS来保护网络用户的必要步骤。”
Mozilla.Mark-All-HTTP功能将塞到Firefox中,但它在当前生产质量浏览器中未启用它,Firefox 60。但是,用户可以手动切换它。
键入关于:firefox中的config for security.insecure_connection_icon.enabledwouble-click那个项目;虚假的值下降将变为真实您可以通过在地址栏中输入HTTP页面来测试更改,如BBC.com。
铬合金
Chrome仍然使用通常的挂锁来标记HTTPS站点,并且不会呼出未加密的流量(HTTP),至少快速浏览到地址栏。(单击地址栏中的信息图标,URL左侧圆圈中的小写I的符号显示下拉列表,该下拉会将注意力呼叫对现有的不安全连接。)
谷歌自2017年以来,Chrome有标记的网站,该网站通过HTTP连接传输密码或信用卡信息,在地址栏中使用文本不安全。
但谷歌已经安排了今年的几个额外步骤,它将将Chrome移植到推翻几十年的视觉信号,这是标记流量加密的几十年。
该更改在7月开始于Chrome 68 - 设置为7月22日至28日的一周发货 - 这将标记具有文本的所有HTTP网站,这些网站在地址栏中的URL之前读取不安全。
谷歌用户可以使用当前Chrome 66中的这些步骤启用Chrome 68的行为:
键入chrome://地址栏中的标志.find将项目标记为非安全起源作为非安全起源。选择启用(带有不安全警告的标记)和Relaunch Chrome.optionally,选择“启用(标记为主危险)显示红色图标。谷歌接下来,Chrome 69 - 在9月2日星期内发布的Chrome 69 - 浏览器将从地址栏中删除HTTPS页面的绿色安全文本,并仅显示小挂锁图标。谷歌的特点是作为肯定地指出安全页面的一步,以及朝向更中立的标签。
谷歌然后,在10月份,将出现Chrome 70(在10月14日的一周内),用小红色三角形标记任何HTTP网站以指示不安全的连接,以及在地址栏中不可保护的文本。一旦用户与任何输入字段交互,那么这些信号就会显示。
边缘
与Apple的Safari相同的方式,Microsoft“S的Lead浏览器陷入了HTTPS标记的HTTP-IS-Not Model。
边缘在页面栏中显示PAGE栏中的挂锁图标,当页面受到数字证书的保护时,并且加密Windows 10 PC和服务器之间的流量。如果没有挂锁,则站点不会加密流量,依赖于HTTP。然而,要获得完整的故事,但用户必须单击图标 - 在圆圈中的I一个I - 并在随后的弹出窗口中读取文本。“在这里小心,”边警告。“您与本网站的连接不是加密。这使得某人更容易窃取密码等敏感信息。“
微软与Safari,Firefox和Chrome不同,Edge在用户访问HTTP网站时,EDGE不提供特殊警告,如专门用于密码或信用卡号码的HTTP网站。
(Computerworld使用该网站Badssl.com来测试所有四种浏览器的功能。)
