aktualności

Mozilla będzie faworyzować strony HTTPS

20
14 maja 2015, 19:01 Adam Szymański

Google już w sierpniu ubiegłego roku poinformowało o zmianach w swoim algorytmie wyszukiwania, tak aby promował on strony wykorzystujące protokół HTTPS. Ruch ten miał zmotywować twórców witryn do wdrożenia wspomnianego standardu Hypertext Transfer Protocol Secure, tym samym przyczyniając się do wzrostu bezpieczeństwa internautów. Teraz podobny cel postawiła sobie Mozilla, która jednak chce go zrealizować w nieco inny sposób.

Zmiany będą dotyczyć przeglądarki Firefox, ale oczywiście nie oznaczają, że przestanie ona otwierać strony korzystające z HTTP. Chodzi tu raczej o wyłączenie dodatkowych funkcji oferowanych przez oprogramowanie, chociaż na razie fundacja nie zdradziła szczegółów. Poinformowano jednak, że niebawem zostanie wyznaczony termin, po którego upłynięciu nowe możliwości programu nie będą mogły być wykorzystywane na nieszyfrowanych witrynach. Jako przykład podaje się tu akcelerację sprzętową. Potem ograniczenia będą coraz większe, łącznie z wyłączeniem elementów, które w przypadku korzystania z HTTP mogą sprawiać zagrożenie dla użytkowników. Już teraz Firefox blokuje dostęp do mikrofonu i kamery na tego typu stronach.

Mimo że podejście to brzmi dość rygorystycznie, fundacja podkreśla, że jej głównym celem jest zachęcenie webmasterów do wykorzystywania protokołu HTTPS, a nie stosowania rozwiązań siłowych. Ponadto twórcy Firefoksa podkreślają, iż wprowadzenie szyfrowanego połączenia nieznacznie wpłynie na działanie stron, ponieważ obecnie stosowany standard HTTP/2 dodatkowo zwiększa wydajność i obciąża sprzęt w nieznacznym stopniu. Oprócz tego Mozilla przygotowała specjalny poradnik dla twórców witryn internetowym, który ma im pomóc w przejściu na HTTPS. Fundacja podkreśla też, ze cały proces może być darmowy, o ile odpowiednio przeprowadzi się migrację. Aby dodatkowo potwierdzić swoje dobre zamiary, twórcy Firefoksa udostępnili specjalne narzędzie pomagające we wdrożeniu odpowiednich ustawień.

Strony internetowe z HTTPS promowane przez wyszukiwarkę Google'a

Źródło: Mozilla, KŚ
noel24Zobacz profil
Poziom ostrzeżenia: 0%
noel242015.05.14, 19:26
Niech Mozilla najpierw zrobi dobrą przeglądarkę. Weszła 38 wczoraj i na kompie ojca nagle laguje w 1kl/s, dysk się dławi i tłucze, a IE chodzi jakby nic. Żart po prostu, było na odwrót kilka lat temu. I jest z roku na rok coraz gorzej. To była moja ulubiona przeglądarka, teraz tylko same kłopoty.
ingvarr100thZobacz profil
Poziom ostrzeżenia: 0%
ingvarr100th2015.05.14, 20:25
A podmioty wystawiające certyfikaty już zacierają ręce.
xedeZobacz profil
Poziom ostrzeżenia: 0%
xede2015.05.14, 20:34
#1 - przeczyść kompa z adware'u wirusów itd. i dopiero potem płacz
#2 - są darmowe podmioty wystawiające certyfikaty ale zawsze znajdzie się hejter taki jak ty...
PCMarekZobacz profil
Poziom ostrzeżenia: 0%
PCMarek2015.05.14, 20:59
xede @ 2015.05.14 20:34  Post: 867770

#2 - są darmowe podmioty wystawiające certyfikaty ale zawsze znajdzie się hejter taki jak ty...


to nie hejter, on po prostu zabiera głos nie mając zielonego pojęcia o temacie :)
noel24Zobacz profil
Poziom ostrzeżenia: 0%
noel242015.05.14, 21:01
-2#5
xede @ 2015.05.14 20:34  Post: 867770
#1 - przeczyść kompa z adware'u wirusów itd. i dopiero potem płacz
#2 - są darmowe podmioty wystawiające certyfikaty ale zawsze znajdzie się hejter taki jak ty...

Świeża instalka z rana, po zainstalowaniu minimum sterowników i antywirusa wciąż IE śmiga a firefox laguje. Jaki malware nagle unieruchamia Firefoxa zaraz po upgradzie lub świeżej instalacji OSa i rzekomego firefoxa? Odpowiedź jest prosta: ten fabryczny w firefoxie. Jeszcze jakaś porada, znafco?
szmonZobacz profil
Poziom ostrzeżenia: 0%
szmon2015.05.14, 21:11
Jak przykład podaje się tu akcelerację sprzętową. Potem ograniczenia będą coraz większe, łącznie z wyłączeniem elementów, które w przypadku korzystania z HTTP mogą sprawiać zagrożenie dla użytkowników.


Już myślałem że przestaną interpretować CSSa na stronie :E Teraz to wygląda na narzucanie sztucznych ograniczeń, żeby utrudnić ludziom życie. Co taką osobę która kupiła stronę od webmastera interesuje że mozilla sobie wprowadza cudaki? Ona wymaga żeby webmajster zrobił swoją robotą, zuploadował na ftp i ma działać. Koniec jego pracy, bierze wynagrodzenie i obie strony są zadowolone. Idąc dalej tym tropem: co ma webmaster do administrator serwera? Oczywiście można sobie włączyć SSL w panelu czy napisać do swojego admina, ale to już indywidualna kwestia zakupionej usługi. Z drugiej strony who cares? Jak strony przestaną działać na ff, to ludzie przesiądą się na Chrome.

Oprócz tego Mozilla przygotowała specjalny poradnik dla twórców witryn internetowym, który ma im pomóc w przejściu na HTTPS.


Bo przejście na https wymaga tyle godzin pracy, że Mozilla musi wydawać specjalne poradniki. Oni mają nas za kretynów czy coś?

Fundacja podkreśla też, ze cały proces może być darmowy, o ile odpowiednio przeprowadzi się migrację.


Tak, łącznie z darmowym certyfikatem self-signed który spowoduje wyświetlenie okienka z informacją o zagrożeniu i tym kretyńskim przyciskiem 'rozumiem zagrożenie'. User zobaczy wielki czerwony komunikat, przestraszy się i ucieknie. Dobrze że dość często są promocje na certyfikaty...

Z resztą czy ten certyfikat naprawdę potwierdza wiarygodność kogokolwiek? Wszelkie dopisane ROOT są jednakowo ważne. Każdy z urzędów certyfikacji może wystawić certa dla dowolnej domeny. Jeżeli jakiś urząd zostanie zhackowany lub przekupiony, to może on wystawić podpis nawet dla domeny, która już posiada certa wystawionego przez inny urząd. Ergo: można paść ofiarą ataku MIM na teoretycznie bezpiecznym komputerze i oglądać sobie fałszywą stronę podpisaną wiarygodnym certyfikatem, który (między innymi) firefox łyknie bez problemu. Jak ktoś jest kimś ważnym albo kimś obrzydliwie bogatym, to powinien mieć to na uwadze :E

Aby dodatkowo potwierdzić swoje dobre zamiary, twórcy Firefoksa udostępnili specjalne narzędzie pomagające we wdrożeniu odpowiednich ustawień.


Fajny przedruk manuala. Zawsze to te kilka sekund szybciej.
KenjiroZobacz profil
Poziom ostrzeżenia: 0%
Kenjiro2015.05.14, 21:31
99.99% stron to są wizytówki, na których nie ma nic, co by wymagało HTTPS, więc działania Mozilli to jakieś pierdzenie pod publikę. Już nie wspomnę, że tanie hostingi często nie obsługują SSL (z rodzaju 10-20zł rocznie).
Zresztą, o ile cenię Firefoksa za dodatki, to jeśli zaczną robić pod górkę zwykłym użytkownikom, to pożegnam się z nią bez cienia żalu.

PS. A już tekst z FAQ mnie rozbroił:
What about my home router? Or my printer?
The challenge here is not that these machines can’t do HTTPS, it’s that they’re not provisioned with a certificate.

Co za bzdura. Niech spróbują posadzić sensowny serwer z SSL na printserwerze z 1MB flash, albo tanim routerku z 32MB flash.

PPS. Mam nadzieję, że Vivaldi do tej pory osiągnie stabilność.
vaultZobacz profil
Poziom ostrzeżenia: 0%
vault2015.05.14, 21:43
szmon @ 2015.05.14 21:11  Post: 867782
Tak, łącznie z darmowym certyfikatem self-signed który spowoduje wyświetlenie okienka z informacją o zagrożeniu i tym kretyńskim przyciskiem 'rozumiem zagrożenie'. User zobaczy wielki czerwony komunikat, przestraszy się i ucieknie. Dobrze że dość często są promocje na certyfikaty...

Są darmowe podpisane certyfikaty.

szmon @ 2015.05.14 21:11  Post: 867782
Z resztą czy ten certyfikat naprawdę potwierdza wiarygodność kogokolwiek? Wszelkie dopisane ROOT są jednakowo ważne. Każdy z urzędów certyfikacji może wystawić certa dla dowolnej domeny. Jeżeli jakiś urząd zostanie zhackowany lub przekupiony, to może on wystawić podpis nawet dla domeny, która już posiada certa wystawionego przez inny urząd. Ergo: można paść ofiarą ataku MIM na teoretycznie bezpiecznym komputerze i oglądać sobie fałszywą stronę podpisaną wiarygodnym certyfikatem, który (między innymi) firefox łyknie bez problemu. Jak ktoś jest kimś ważnym albo kimś obrzydliwie bogatym, to powinien mieć to na uwadze :E

Public Key Pinning, DANE.

szmon @ 2015.05.14 21:11  Post: 867782
Bo przejście na https wymaga tyle godzin pracy, że Mozilla musi wydawać specjalne poradniki. Oni mają nas za kretynów czy coś?

Skoro nawet taki znawca jak Ty tylko wie, że dzwoni, ale nie wie gdzie, to może Mozilla ma rację :)
ingvarr100thZobacz profil
Poziom ostrzeżenia: 0%
ingvarr100th2015.05.14, 22:13
-5#9
PCMarek @ 2015.05.14 20:59  Post: 867778
xede @ 2015.05.14 20:34  Post: 867770

#2 - są darmowe podmioty wystawiające certyfikaty ale zawsze znajdzie się hejter taki jak ty...


to nie hejter, on po prostu zabiera głos nie mając zielonego pojęcia o temacie :)

Otóż o dziwo mam.
Tyle że darmowy certyfikat to nawet ja sobie mogę wystawić i p. Wiesio z pod monopolowego. Oznacza to tyle że może połączenie jest szyfrowane, ale wcale nie musi być bezpieczne i mimo wszystko może być podsłuchiwane.
Wysokie ceny za certyfikat nie są tylko po to aby napełnić banki podmiotów certyfikujących, ale także ograniczają zakup przez oszustów i naciągaczy.
ZIB2000Zobacz profil
Poziom ostrzeżenia: 0%
ZIB20002015.05.14, 23:03
z firefoxem jest coraz gorzej
najpierw blokowanie javy i innych teraz jeszcze to

a te ich pozwól i zapamiętaj działa jak chce (ma poważne problemy z pamięcią)

xede @ 2015.05.14 20:34  Post: 867770
#1 - przeczyść kompa z adware'u wirusów itd. i dopiero potem płacz
#2 - są darmowe podmioty wystawiające certyfikaty ale zawsze znajdzie się hejter taki jak ty...


amatorskie porady chłopie
1.firefox schodzi na psy i to jest fakt
2.i co z tego?w domu sobie wystawię - certyfikat musi mieć bardzo zaufanego wystawcę a nie wiesia spod budki z piwem

szmon to dokładnie opisał w praktyce
Zaloguj się, by móc komentować
1