Η Google ανακοίνωσε σήμερα ότι το πρόγραμμα περιήγησης ιστού Chrome θα αρχίσει να προειδοποιεί τους χρήστες από προεπιλογή πριν συνδεθούν σε μη ασφαλείς δημόσιους ιστότοπους HTTP ξεκινώντας με το Chrome 154 τον Οκτώβριο του 2026.
Το Google Chrome διαθέτει επίσης μια ενεργοποίηση HTTPS-First Mode από το 2021, η οποία πρόσθεσε τη ρύθμιση “Να χρησιμοποιείτε πάντα ασφαλείς συνδέσεις” και προσπαθεί να συνδεθεί σε ιστότοπους μέσω HTTPS (Ασφαλές πρωτόκολλο μεταφοράς υπερκειμένου), εμφανίζοντας μια παρακαμπθείσα προειδοποίηση εάν το HTTPS δεν είναι διαθέσιμο.
Ωστόσο, η Google θα ενεργοποιήσει τώρα αυτήν την επιλογή από προεπιλογή για να διασφαλίσει ότι οι χρήστες επισκέπτονται ιστότοπους μόνο μέσω HTTPS και ότι προστατεύονται πάντα από επιθέσεις man-in-the-middle (MITM) που προσπαθούν να καταλάβουν ή να αλλάξουν δεδομένα που ανταλλάσσονται με διακομιστές Διαδικτύου μέσω του μη κρυπτογραφημένου πρωτοκόλλου HTTP.
“Σε ένα χρόνο από τώρα, με την κυκλοφορία του Chrome 154 τον Οκτώβριο του 2026, θα αλλάξουμε τις προεπιλεγμένες ρυθμίσεις του Chrome για να ενεργοποιήσουμε την επιλογή “Να χρησιμοποιείτε πάντα ασφαλείς συνδέσεις”. Αυτό σημαίνει ότι το Chrome θα ζητήσει την άδεια του χρήστη πριν από την πρώτη πρόσβαση σε οποιονδήποτε δημόσιο ιστότοπο χωρίς HTTPS», δήλωσε η εταιρεία.
“Όταν οι σύνδεσμοι δεν χρησιμοποιούν HTTPS, ένας εισβολέας μπορεί να παραβιάσει την πλοήγηση και να αναγκάσει τους χρήστες του Chrome να φορτώσουν αυθαίρετους πόρους που ελέγχονται από τους εισβολείς και να εκθέσουν τον χρήστη σε κακόβουλο λογισμικό, στοχευμένη εκμετάλλευση ή επιθέσεις κοινωνικής μηχανικής.”
Όπως εξήγησε περαιτέρω η Google, σε όλες τις παραλλαγές των ρυθμίσεων “Να χρησιμοποιείτε πάντα ασφαλείς συνδέσεις” (στοχεύοντας ιδιωτικούς ή δημόσιους ιστότοπους), το Chrome δεν θα προειδοποιεί επανειλημμένα τον χρήστη σχετικά με αυτόν τον ιστότοπο, εφόσον ο χρήστης επισκέπτεται τακτικά έναν μη ασφαλή ιστότοπο. Αυτό σημαίνει ότι αντί να προειδοποιεί τους χρήστες για 1 στις 50 πλοηγήσεις, το Chrome θα προειδοποιεί τους χρήστες μόνο όταν ανοίγουν έναν νέο (ή σπάνια επισκέπτεται) ιστότοπο που δεν χρησιμοποιεί HTTPS.
Επιπλέον, οι χρήστες θα έχουν την επιλογή να ενεργοποιούν ειδοποιήσεις ανασφαλούς σύνδεσης μόνο για δημόσιους ιστότοπους ή για δημόσιους και ιδιωτικούς ιστότοπους (συμπεριλαμβανομένων εταιρικών ενδοδικτύων).
Είναι σημαντικό να σημειωθεί ότι, ενώ οι ιδιωτικοί ιστότοποι μπορεί να εξακολουθούν να είναι επικίνδυνοι, θεωρούνται γενικά λιγότερο επικίνδυνοι από τους δημόσιους ιστότοπους, επειδή υπάρχουν λιγότερες ευκαιρίες για τους εισβολείς να τους εκμεταλλευτούν και το HTTP μπορεί να γίνει κατάχρηση μόνο από εισβολείς σε ένα πιο περιορισμένο πλαίσιο, όπως ένα τοπικό δίκτυο όπως το οικιακό σας Wi-Fi ή σε ένα εταιρικό περιβάλλον.
Ωστόσο, ακόμη και με την ενεργοποίηση και των δύο τύπων προειδοποιήσεων, οι χρήστες δεν θα πρέπει να βομβαρδίζονται με ειδοποιήσεις, δεδομένου ότι περίπου το 95-99% όλων των ιστότοπων έχουν υιοθετήσει το HTTPS, μια τεράστια αύξηση από το ποσοστό υιοθέτησης του 2015 που ήταν περίπου 30-45%.
Προτού την ενεργοποιήσει από προεπιλογή για όλους τους χρήστες, το Chrome θα ενεργοποιήσει τη “Να χρησιμοποιείτε πάντα ασφαλείς συνδέσεις” για δημόσιους ιστότοπους για περισσότερους από 1 δισεκατομμύριο χρήστες που χρησιμοποιούν βελτιωμένες προστασίες ασφαλούς περιήγησης τον Απρίλιο του 2026, όταν θα κυκλοφορήσει το Chrome 147.
“Ενώ ελπίζουμε και προσδοκούμε ότι αυτή η μετάβαση θα είναι σχετικά ανώδυνη για τους περισσότερους χρήστες, οι χρήστες θα εξακολουθούν να μπορούν να απενεργοποιούν τις προειδοποιήσεις απενεργοποιώντας τη ρύθμιση “Να χρησιμοποιείτε πάντα ασφαλείς συνδέσεις””, πρόσθεσε η Google.
“Εάν είστε προγραμματιστής ιστοτόπων ή επαγγελματίας πληροφορικής και έχετε χρήστες που ενδέχεται να επηρεαστούν από αυτήν τη δυνατότητα, συνιστούμε ανεπιφύλακτα να ενεργοποιήσετε τη ρύθμιση “Πάντα να χρησιμοποιείτε ασφαλείς συνδέσεις” σήμερα για να σας βοηθήσει να εντοπίσετε ιστότοπους στους οποίους μπορεί να χρειαστεί να εργαστείτε για να μετεγκαταστήσετε.”
Τον Οκτώβριο του 2023, το Google Chrome πρόσθεσε μια λειτουργία HTTPS-Upgrades που αναβαθμίζει αυτόματα τους συνδέσμους HTTP εντός της σελίδας σε ασφαλείς συνδέσεις για όλους τους χρήστες, διασφαλίζοντας ταυτόχρονα μια γρήγορη επιστροφή στο HTTP, εάν χρειάζεται.
Νωρίτερα αυτό το μήνα, η Google ενημέρωσε επίσης το πρόγραμμα περιήγησής της ξανά για να ανακαλέσει αυτόματα τις άδειες ειδοποιήσεων για ιστότοπους που δεν έχουν επισκεφτεί πρόσφατα, για να μειώσει την υπερφόρτωση ειδοποιήσεων.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
