A Firefox is lesújt a mezei HTTP-t használó weboldalakra
Ősztől a Chrome után a Firefoxban is minden titkosítás nélküli HTTP-t használó lap mellett megjelenik a "nem biztonságos" felirat.
Rövidesen nem biztonságosként jelöli majd meg a HTTP-t használó weboldalakat a Firefox - jelentette be a Mozilla. A rivális Chrome böngésző épp egy évvel ezelőtt vezette be ugyanezt a funkciót a Chrome 68-cal, úgy tűnik most a Mozilla is elérkezettnek látta az időt, hogy a nem titkosított HTTP használatát a "Not secure", azaz "Nem biztonságos" felirattal szankcionálja az URL sáv mellett. A funkció várhatóan a Firefox 70-es verziójával, idén október folyamán élesedik.
A Firefox most sem fél használni a "Not secure" címkéket, jelenleg azonban csak az olyan HTTP oldalaknál tünteti fel azokat, amelyek valamilyen bejelentkezési felületet, vagy egyéb szövegbeviteli mezőt tartalmaznak, ezáltal fokozott biztonsági kockázatot jelentenek a felhasználók számára. Miután mára a ZDNet által idézett Let's Encrypt adatai szerint az összes weboldal mintegy 80 százaléka használ biztonságos HTTPS-t, az is fontossá vált, hogy a böngészők ne csak azt jelezzék, ha a felhasználó megfelelő védelemmel szerelt oldalon jár, de arra is külön felhívják a figyelmet, ha a titkosítás hiányzik.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A jelzéseket a Mozilla ha eddig nem is élesítette, azokkal már jó ideje dolgozik, a hozzájuk kapcsolódó flagek 2017 decemberében jelentek meg a Firefox beállításai között. Az érdeklődőknek így nem kell feltétlenül októberig várniuk a HTTP oldalakkal kapcsolatos biztonsági figyelmeztetésekre, azokat az about:config menüben igény szerint már most is bekapcsolhatják.
Itt a "security.insecure_connection_text.enabled" flaget aktiválva jeleníthető meg az említett figyelmeztető szöveg, a "security.insecure_connection_icon.enabled" bekapcsolása pedig egy törött lakat ikont jelenít meg a mezei HTTP-re támaszkodó oldalaknál (vagy épp a az érvénytelen tanúsítványokkal operáló felületeknél). A "security.insecure_connection_icon.pbmode.enabled" és a "security.insecure_connection_text.pbmode.enabled" ugyanezt a szöveges és piktogramos jelzést a privát ablakokban is elérhetővé teszik.
Igaz korábban a HTTPS bevezetése nehézkes és drága folyamat volt, mára az automatizált, ingyenes tanúsítványkibocsátók megjelenésével ez jóval egyszerűbben levezényelhető. A legismertebb ilyen szolgáltatás a fentebb is említett Let's Encrypt amely néhány hónap alatt a szegmens legnépszerűbb szereplőjévé nőtte ki magát. A Google egyébként a keresési találatok között is előnyben részesíti a HTTPS-sel operáló weblapokat. Sajnos ennek ellenére a hazai oldalak között is jócskán akad még mezei HTTP-vel működő weblap, ezek listája a Troy Hunt biztonsági szakértő által létrehozott WhyNoHTTPS oldalon követhető régiókra lebontva.