随着多方政策的推动,越来越多的网站加入HTTPS安全队伍。今年年初全球最大的浏览器厂商Google已经采取在默认情况下将HTTP页面标记为“不安全”。据相关最新消息,Firefox也准备把所有HTTP站点标识“不安全”。
Firefox Nightly Edition(59版本)加入一个隐藏设置选项,激活后将变为一个可视化的指示符,为一条显眼的红色删除线。用户访问HTTP页面时,当前页面将被该红色删除线标识为不安全。然后通过一个经典的安全锁标识对HTTPS页面表达加密的存在。
前Mozilla软件工程师Richard Barnes曾经说过:“HTTPS部署已经是一种趋势,我们应该准备将非安全站点标记为不安全的,而不仅仅把安全站点标记为安全。”
Barnes在去年的一个专题请求中写道:“作为第一步,在默认的情况下,我们应把所有不安全的网站添加一个负面的指标。”
该隐藏设置最迟在Firefox Nightly 59发布
Mozilla批准了Barnes的请求,Firefox Nightly 59已置入一个名为“security.insecure_connection_icon”的隐藏选项。当启用时,所有HTTP页面上将显示上述提到的删除线锁定的图标。
用户若想启动该功能,需导航到about:config设置界面。搜索“security.insecure_connection_icon”,然后双击启用即可。
自从Barnes提出该要求以来,HTTPS的采用越来越明显,据Let’s Encrypt数据显示,2017年11月,Firefox加载的网页中有67%使用了HTTPS,而去年年底仅占45%。
其实,目前大部分的网络安全专家以及UI设计者都认为,当用户访问HTTP页面时,站点显示延续性的警告,可能会导致所谓的“错误疲劳”,这样用户会对这些不安全警示做出视而不见的态度。
但正如Barnes所提出的,随着HTTPS采取率越来越高,在非HTTPS网站上显示“不安全”的警告可能会被接受。因为这些安全警示将会越来越少。
在未来的一两年内,我们可能会看到所有的浏览器将HTTP的网站视为不安全的网站,都会对HTTP页面提出不安全警告。
虽然目前还没看到这一现象,,Firefox和Chrome只在用户登录页面或通过信用卡/借记卡付款时才在HTTP站点上使用较为明显安全警告。当然,两者显示的方式是一样的。Firefox直接在登陆表单显示“不安全密码警告”。而Chrome显示了URL地址栏中的“不安全”文本指示器。最近,谷歌还决定对Chrome浏览器的私有浏览模式加载的所有HTTP页面显示永久的“不安全”警告。
文章由GDCA翻译于bleepingcomputer
领取优惠
提交成功!