Google Chrome будет предупреждать пользователей перед открытием небезопасных HTTP-сайтов
Сегодня компания Google объявила, что начиная с версии Chrome 154, которая выйдет в октябре 2026 года, веб-браузер Chrome будет по умолчанию запрашивать разрешение перед подключением к общедоступным небезопасным веб-сайтам, работающим по протоколу HTTP.
С 2021 года в Google Chrome также доступен режим HTTPS-First, в котором добавлена настройка «Всегда использовать защищённые соединения». Он пытается подключиться к веб-сайтам по протоколу HTTPS (HyperText Transfer Protocol Secure) и отображает предупреждение, которое можно обойти, если HTTPS недоступен.
Однако теперь Google будет включать эту опцию по умолчанию, чтобы пользователи могли посещать веб-сайты только по протоколу HTTPS и всегда были защищены от атак типа «человек посередине» (man-in-the-middle, MITM), которые направлены на отслеживание или изменение данных, передаваемых на интернет-серверы по незашифрованному протоколу HTTP.
«Через год, с выходом Chrome 154 в октябре 2026 года, мы изменим настройки Chrome по умолчанию, включив опцию «Всегда использовать защищённые соединения». Это означает, что Chrome будет запрашивать разрешение пользователя перед первым доступом к любому общедоступному сайту без HTTPS», — сообщила команда Chrome по безопасности.
«Если в ссылках не используется протокол HTTPS, злоумышленник может перехватить управление навигацией и заставить пользователей Chrome загружать произвольные ресурсы, контролируемые злоумышленником, а также подвергнуть пользователя риску заражения вредоносным ПО, целенаправленной эксплуатации или атакам с использованием социальной инженерии».
HTTP-предупреждение (Google)
Как пояснили в Google, во всех вариантах настройки «Всегда использовать защищённые соединения» (для частных или общедоступных веб-сайтов) Chrome не будет постоянно предупреждать пользователя об этом сайте, если пользователь регулярно посещает небезопасный сайт. Это означает, что вместо того, чтобы предупреждать пользователей о каждом 50-м переходе, Chrome будет предупреждать их только при открытии нового (или редко посещаемого) сайта, который не использует HTTPS.
Кроме того, у пользователей будет возможность включить оповещения о небезопасных подключениях только для общедоступных сайтов или для общедоступных и частных сайтов (включая корпоративные интрасети).
Важно отметить, что, хотя частные сайты могут быть небезопасными, они, как правило, считаются менее опасными, чем общедоступные, поскольку у злоумышленников меньше возможностей их использовать, а HTTP может быть скомпрометирован только в более ограниченном контексте, например в локальной сети, такой как ваш домашний Wi-Fi, или в корпоративной среде.
Однако даже при включённых обоих типах предупреждений пользователей не следует забрасывать уведомлениями, поскольку около 95–99 % всех веб-сайтов перешли на HTTPS, что значительно больше, чем в 2015 году, когда этот показатель составлял примерно 30–45 %.
Настройки безопасного подключения (Google)
Прежде чем включить эту функцию по умолчанию для всех пользователей, Chrome активирует опцию «Всегда использовать защищённые соединения» для общедоступных сайтов для более чем 1 миллиарда пользователей, использующих расширенную защиту безопасного просмотра, в апреле 2026 года, когда выйдет Chrome 147.
«Мы надеемся, что этот переход пройдёт относительно безболезненно для большинства пользователей, но они всё равно смогут отключить предупреждения, сняв флажок «Всегда использовать защищённые соединения», — добавили в Google.
«Если вы разработчик веб-сайтов или ИТ-специалист и у вас есть пользователи, на которых может повлиять эта функция, мы настоятельно рекомендуем включить параметр «Всегда использовать защищённые соединения», чтобы определить сайты, которые вам, возможно, придётся перенести».
В октябре 2023 года в Google Chrome появилась функция HTTPS-Upgrades, которая автоматически переводит HTTP-ссылки на странице в защищённые соединения для всех пользователей, обеспечивая при этом быстрый возврат к HTTP в случае необходимости.
Ранее в этом месяце Google также обновил свой веб-браузер, чтобы автоматически отзывать разрешения на уведомления для сайтов, которые не посещались в последнее время, чтобы уменьшить количество оповещений.
Редактор: AndreyEx
