Itt a Chrome 68, retteghetnek a nem védett weboldalak
A böngésző haragja elől sokan már a HTTPS-hez menekültek, de vannak itthon is akik még kivárnak.
Megérkezett a rettegett Chrome 68, a Google böngészőjének legújabb verziója több újítást is hoz, a legfontosabb azonban, hogy a már elérhető 68-as kiadásban feltűnik a "Not secure" vagy "Nem biztonságos" felirat a még sima, nem titkosított HTTP-t használó weboldalak mellett. A szigorú intézkedés egyrészről a felhasználók számára hivatott egyértelművé tenni, hogy a weboldalról hiányzik a HTTPS által biztosított titkosítás, valamint magukat az oldalakat is motiválhatja a minél tempósabb váltásra.
A funkció érkezését a Google először két éve vetítette előre, idén februárban pedig a júliusi rajtot is bejelentette, sok weblapnál pedig már a megbélyegzés közelgő veszélye is elég nyomást jelentett a HTTPS bevezetésére. A nagyobb online biztonságot nyújtó URI-séma szerencsére egyre terjeszkedik, tavaly év eleje óta a titkosítást használó weboldalak aránya 51 százalékról 71-re emelkedett, illetve az egymillió legnézettebb weboldalnak már 20 százalék helyett több mint fele irányítja át az érkezőket HTTPS kapcsolatra. A Google az új Chrome kapcsán közzétett blogposztja szerint az elmúlt két évben Androidon 42-ről 76 százalékra nőtt a Chrome-on átfolyó HTTPS forgalom aránya, Chrome OS-en pedig 67-ről 85-re hízott, továbbá a 100 legnépszerűbb weboldalból 37 helyett már 83 használ HTTPS-t. A technológia használatára egyébként kormányzati oldalról is egyre több helyen bátorítanak, az Egyesült Királyság online biztonsági központja például blogposztban is biztatja rá az üzemeltetőket.
Ebben a korábban nehézkes és drága procedúra egyszerűsödése is szerepet játszott, az automatizált, ingyenes tanúsítványkibocsátók megjelenésével, mint a Let"s Encrypt, amely néhány hónap alatt a szegmens legnépszerűbb szereplőjévé nőtte ki magát. A Google egyébként a keresési találatok között is előnyben részesíti a HTTPS-sel operáló weblapokat.
A mezei HTTP használata különösen azoknál az oldalaknál jelent veszélyt, ahol a felhasználók bejelentkezési vagy akár fizetési adatokat adnak meg, ezeket pedig illetéktelenek is egyszerűbben szerezhetik meg a titkosítatlan adatfolyamot elcsípve. A Chrome az ilyen lapoknál hamarosan kiemelt figyelmeztetést vezet be: először a HTTPS oldalaknál jelenleg használt "Secure" azaz "Biztonságos" címkét eltávolítja, csak a nem biztonságos oldalakat jelöli majd meg, még feltűnőbbé téve azokat, az igazi szigorítás pedig októberben, a Chrome 70-nel érkezik, amely ha az oldalon a felhasználó bejelentkezési adatokat készül megadni, animációval kísérve pirosra váltja a figyelmeztetést, és egy felkiáltójelet is elhelyez mellette. Hasonló gyakorlatot láthatunk egy ideje a Firefoxtól is, amely a bejelentkezési adatok mezői alatt dob fel riasztást HTTP kapcsolat esetén.
A retorziók dacára azért az itthon népszerű weboldalak között is jócskán találni olyanokat, amelyek még mindig HTTP-t használnak. Ezek listája a Troy Hunt biztonsági szakértő által létrehozott WhyNoHTTPS oldalon követhető - az online eszköz az Alexa.com adatai alapján, népszerűség szerint rendezi az adott régió mezei HTTP-re támaszkodó oldalait. Magyarországon az öt legnépszerűbb HTTP-s weblap élén az Origo.hu áll, amelyet a Freemail.hu, majd a Hvg.hu követ, a negyedik hely a Blikk.hu-t illeti, az ötödik pedig a Life.hu-nak jut. De ezeken túl is találni fontos hazai online lapokat a listában, azon ott van egyebek mellett a Nemzeti Sport és a 168 óra weboldala is - de a Magyar Nemzeti Bank, a MediaMarkt weblapja sem hiányzik a lajstromról, sőt a Szerencsejatek.hu is felkerült rá. Ugyancsak meglepetés, hogy a Bme.hu, az Mta.hu és az Oszk.hu is máig HTTP-re épít. A felsorolt médiumokat, cégeket és intézményeket megkerestük.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A Szerencsejáték Zrt.-től azt a tájékoztatást kaptuk, hogy esetükben csak a Szerencsejatek.hu nyitóoldala nem rendelkezik HTTPS tanúsítvánnyal, minden aloldala igen, továbbá a cégnél már "tervben van" a nyitólap HTTPS tanúsítvánnyal való ellátása is. A megkeresésre az MTA is válaszolt, és arról tájékoztatott, hogy az átállás már folyamatban van, noha arra az akadémia sem tért ki, pontosan mikor zárul le a projekt. A Media Markt válaszában ugyancsak biztosított róla, hogy a HTTPS átállás már folyamatban van a cégnél, továbbá hangsúlyozta, hazánkban és külföldön is kiemelt figyelmet szentel látogatói személyes adatainak védelmére – ennek fényében a személyes adatokat érintő oldalak a kezdetektől HTTPS-t használnak. Sokáig már a Hvg.hu-nál sem kell várni a HTTPS élesítésére, a laptól azt a tájékoztatást kaptuk, hogy annak tesztelése már folyamatban van, a rajt pedig hetek kérdése - az oldalnál egyébként ezzel a lap munkatársai által használt belső felületek is átállnak a biztonságosabb technológiára. A Hvg.hu azt is sietett hangsúlyozni, az Adózóna és a Jobline oldalaikkal már átállt HTTPS-re, és az innen szerzett tapasztalatokat az most online lapnál hasznosítják a fejlesztők.
Mindez azért fontos, mert a HTTP-protokoll egyszerű szöveg alapú, amelyet minden közbeeső fél (hálózati szolgáltató, vagy épp potenciális támadó) elolvashat és módosíthat. Emiatt a statikus, adatot nem kérő oldalak is veszélyessé válhatnak, például az otthoni router megfertőzésével a weboldalakba ágyazható rosszindulatú kód, amely akár fertőzött szoftver (ártatlannak látszó Flash) letöltésére is ráveheti a felhasználót - de hasonló módszerrel akár a manapság népszerű kriptobányász megoldások is igába hajthatják a gyanútlan látogató erőforrásait, mint a Coinhive. A HTTPS ezt a támadási vektort kiszűri, az oldal és a felhasználó böngészője között biztonságossá teszi a kommunikációt. Ez persze nem jelenti azt, hogy a két végpont (a szerver vagy a kliens) megfertőzésével ne lehetne továbbra is támadást indítani, de a lépés ennek ellenére sokkal biztonságosabbá teszi a böngészést.
Hogy a HTTP gyengeségeit milyen egyszerű kihasználni, az azok demonstárcióját célzó eszközök terjedése is jól mutatja, ilyen például a WiFi Pineapple, amely kifejezetten a titkosítatlan adatforgalom kockázatait hivatott illusztrálni. A minimális technológiai affinitással rendelkezők számára is egyszerűen használható Wi-Fi auditplatformmal begyűjthető a hálózat titkosítatlan adatforgalmának tartalma - az eszköz ráadásul online bárki számára megvásárolható.
De a Chrome 68 más biztonsági megoldásokat is tartogat. A fentiek mellett a kártékony hirdetéseket is segít elcsípni, az iframe-ek esetében például nem engedi, hogy azok a teljes főoldalt egy új URL-re irányítsák át anélkül, hogy a felhasználó bármilyen interakcióba lépett volna az iframe tartalmával. Miután az iframe-ekre építő rosszindulatú "malvertising" akciók jellemzően a látható képernyőn kívül elrejtett keretekkel dolgoznak, ezek számottevő részét az újonnan bevezetett blokkolás kiszűrheti majd. A cég emellett a háttérben megnyíló lapfüleket is kigyomlálja, amelyeknél az oldal az eredeti tabot hagyta az előtérben, amelyen jellemzően egy sor hirdetést töltött be - ez egyébként nem teljesen új funkció, a Google már a Chrome 65-től elkezdte annak bevezetését.