Google ดำเนินการขั้นตอนในการเพิ่มความปลอดภัยทางอินเทอร์เน็ตของ Chrome โดยอัปเกรด HTTP requests ที่ไม่ปลอดภัยเป็น HTTPS requests โดยอัตโนมัติสำหรับผู้ใช้งานทั้งหมด
ฟีเจอร์นี้เรียกว่า HTTPS-Upgrades และจะช่วยรักษาความปลอดภัยของลิงก์เก่าที่ใช้ http:// โดยจะพยายามเชื่อมต่อกับ URL ผ่านโปรโตคอล https:// ที่เข้ารหัสก่อนเป็นอันดับแรก
ฟีเจอร์นี้ใน Google Chrome ถูกเปิดให้ใช้งานบางส่วนตั้งแต่เดือนกรกฎาคม แต่เมื่อวันที่ 16 ตุลาคมที่ผ่านมา Google ได้ทำการเปิดใช้งานสำหรับผู้ใช้งานทุกคนแล้ว
Chris Thompson หัวหน้าฝ่ายจัดการโปรแกรมวิศวกรรมของ Google ระบุว่า "เราได้เปิดใช้งาน HTTPS-Upgrades โดยค่าเริ่มต้นในสัปดาห์ที่แล้ว และกำลังเปิดตัวให้กับผู้ใช้งานทั้งหมด 100%"
HTTPS-Upgrades คืออะไร?
HTTPS-upgrades คือฟีเจอร์ใน Google Chrome ที่จะอัปเกรดการนำทางทั้งหมดของหน้าหลักไปยัง HTTPS ซึ่งเป็นโปรโตคอลการถ่ายโอนข้อความ HyperText ที่มีความปลอดภัย ขณะเดียวกันก็รับประกันว่าจะกลับไปใช้ HTTP อย่างรวดเร็วหากจำเป็นต้องใช้งาน
ในอดีตเบราว์เซอร์มักส่งคำขอ HTTP ที่ไม่ปลอดภัยไปยังเว็บไซต์ที่สามารถรองรับ HTTPS ได้
ส่วนใหญ่เนื่องจากผู้ใช้คลิกที่ลิงก์เก่า หรือจากเนื้อหาบนเว็บไซต์ยังไม่ได้รับการอัปเกรดให้ใช้โปรโตคอลใหม่ การเชื่อมต่อผ่านโปรโตคอล HTTP จะไม่ได้เข้ารหัส และสามารถถูกดักเพื่อขโมยข้อมูล credentials หรือข้อมูลที่มีความสำคัญอื่น ๆ ได้
Google ระบุว่ายังสามารถเรียกใช้งาน HTTP ได้เช่นกันโดยการโหลดจาก:
- ผู้ใช้ที่เข้าถึงเว็บไซต์ที่ใช้ HSTS (HTTP Strict Transport Security) เป็นครั้งแรก
- เข้าถึงเว็บไซต์ที่ใช้ HTTPS เป็นค่าเริ่มต้นแต่ไม่ได้ใช้ HSTS
- หรือเข้าถึงเว็บไซต์ที่รองรับทั้ง HTTPS และ HTTP โดยไม่มีการ Redirect ไปยัง HTTPS โดยอัตโนมัติ
ในแต่ละกรณี ความเป็นส่วนตัว และความปลอดภัยของผู้ใช้งานจะได้รับความเสี่ยงจากการเชื่อมต่อที่ไม่ปลอดภัยโดยไม่จำเป็น ปัญหานี้ยังคงคงอยู่ในการตั้งค่าต่าง ๆ ซึ่งอาจส่งผลกระทบต่อ requests จำนวนมา
Google กำลังแก้ไขปัญหาด้านความปลอดภัยด้วย HTTPs-upgrades
ด้วยการอัปเดตนี้ Chrome มีเป้าหมายที่จะอัปเกรดลิงก์ HTTP บนเพจเป็น HTTPS โดยอัตโนมัติ และนำระบบ swift fallback ไปเป็น HTTP หากมีความจำเป็น
บราว์เซอร์อาจยอมรับ opt-out header ที่อนุญาตให้เว็บเซิร์ฟเวอร์ที่ให้บริการเนื้อหาที่แตกต่างกันบน HTTP และ HTTPS เพื่อป้องกันการอัปเกรดอัตโนมัติ
การอัปเกรดจะส่งผลกระทบต่อการเรียกดูในด้านต่าง ๆ :
- ถูกจำกัดอยู่ที่ main-frame navigations โดยจะอยู่ภายใต้นโยบายการแสดงเนื้อหาแบบผสมที่มีอยู่
- Navigations ที่เริ่มต้นผ่านแถบ URL หรือ JavaScript มีสิทธิ์ได้รับการอัปเกรด
- การอัปเกรดมีผลกับ idempotent requests เท่านั้น เช่น GET ซึ่งสอดคล้องกับ mixed content policies สำหรับฟอร์มบนหน้าเว็บที่อัปเกรดแล้ว
- การรีไดเร็กไปยัง HTTP จาก HTTPS navigations จะได้รับการอัปเกรดเช่นกัน
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.