На сьогодні в інтернеті лище 33% веб-сайтів використовують захищений протокол HTTPS для пересилання даних. У Google не задоволені такою статистикою і тому пропонують попереджувати користувачів про це. Експерти в цілому раді такому нововведенню, проте вони кажуть, що користувачі будуть спантеличені.
Вразливі дані
Пропозиція маркувати з’єднання через HTTP як вразливі з’явилася на сайті розробки Chrome від інженерів Google, які над ним працюють. Таке сповіщення має виглядати як вікно, що спливає, з написаним у ньому попередженням. Воно має з’являтися під час перегляду сайтів, які працюють через HTTP.
За словами інженерів, дивно, що сучасні браузери ще не попереджають користувачів про те, що їхні дані знаходяться в небезпеці. «Єдина ситуація, коли веб-браузери можуть не повідомляти про небезпеку, – це коли немає шансів на захищене пересилання даних», – пишуть вони.
Для пересилання інформації HTTPS використовує добре відпрацьовані криптографічні системи. Інженери Google кажуть, що попередження необхідні, оскільки відомо, що кіберзловмисники та державні агенції зловживають вразливостями незахищених каналів зв’язку, щоб красти дані та шпигувати за людьми.
З ініціативою розробників Chrome погоджуються старший аналітик антивірусної фірми Trend Micro Рік Фергюсон. Він каже, що попереджувати людей про вразливе з’єднання – це гарна ідея. «Судячи з усього, люди думають, що пересилання даних в інтернеті, наприклад, по HTTP та e-mail, надійна та приватна, – говорить він. – Хоча насправді ситуація зовсім протилежна».
Експерт вважає, що попередження користувачів про вразливе з’єднання спонукатиме сайти переходити на захищені протоколи зв’язку. Адже сьогодні, за даними Trustworthy Internet Movement, в інтернеті лише 33% ресурсів працюють з використанням HTTPS.
Головний біль
Ініціативу інженерів Google також підтримує Пол Муттон, який працює аналітиком у моніторинговій фірмі Netcraft. Він зазначає, що це дивно, коли незашифроване з’єднання HTTP не попереджає про це.
«У короткотривалій перспективі найбільший головний біль матимуть власники веб-сайтів, – каже він. – Якщо вони захочуть перейти з незашифрованого HTTP на HTTPS, це їм коштуватиме грошей та часу, навіть незважаючи на існування спеціальних проектів, які допомагають в цьому. Це буде короткотривала проблема, проте в довготривалій перспективі від неї виграють усі».
Із впровадженням HTTPS інтернет-сервіси стають дорожчими: їм необхідно створювати інфраструктуру для підтримки HTTPS та купувати сертифікати. Останні коштують близько $2000 на рік. Їхня внутрішня мережа також не пристосована до роботи на шифрованих протоколах, і тому їм доводиться створювати локальний кеш. Його розмір може сягати 2 ТБ щодня.
Пропозиція Google також відкрила обговорення на форумах інших браузерів та отримала підтримку від розробників Firefox та Opera. Багато крупних веб-сайтів та сервісів, серед яких Twitter, Yahoo, Facebook та GMail, уже використовують за замовчуванням HTTPS. А з вересня Google віддає перевагу таким сайтам та ставить їх на вищі місця у пошуковій видачі.
Підводні камені HTTPS
Протокол HyperText Transfer Protocol (HTTP) представили на початку 90-х років, однак з того часу онлайновий світ значно змінився та став життєво необхідним інструментом для комунікації, торгівлі, освіти та доступу до інформації. Для пересилання приватних даних з’явився захищений протокол HTTPS, який шифрує трафік HTTP за допомогою стандартів SSL/TLS.
Може здатися, що масове шифрування – це добре, однак за нього доводиться розплачуватися. Наприклад, при роботі із сайтами з HTTPS на мобільному пристрої через 3G збільшується на 50% затримка у пересиланні даних та на 30% – споживання енергії. Зважаючи, що за стандартом затримка при пересиланні даних через UMTS становить не менше 500 мс, час завантаження веб-сторінок зростає у 1,5 рази. А при відтворенні відео на мобільних пристроях вони витрачають на 25% менше енергії при прийманні даних по HTTP.
За матеріалами: BBC