Güvenliğe dönük etkili bir adım
Google web geliştiricilerine HTTP sayfalarını ‘güvenilir-değil’ olarak adlandırma planının ikinci safhasına geçiş yapmadan önce hazırlık yapmaları için altı ay süre veriyor.
Ekim ayı Google’ın Chrome’da tüm HTTP sayfalarını ‘Güvenilir değil’ olarak işaretleme planının ikinci aşamasına geçiş tarihi olacak.
Google Ocak ayında Chrome 56’nın yayınlanmasıyla birlikte bazı HTTP sayfalarını ‘güvenilir değil’ olarak işaretlemeye başladı. Bu aşama üye girişi ya da kredi kartı bilgileri girişi gibi hassas bilgilerin işlendiği sayfaları olumsuz şekilde etkiledi.
‘Güvenilir-Değil’ etiketi, ilgili sayfadaki veri işlemlerinin kriptolanmamış bir bağlantı üzerinden gönderildiği anlamına geliyor. HTTPS ise aynı ağ üzerinde bulunan, ‘man-in-the-middle-attack’ olarak bilinen ve kullanıcı işlemleriyle ilgili trafiği görüntüleyen ya da bu bilgiler üzerinde lehte/aleyhte değişiklikler yapan kişilere karşı daha iyi bir güvenlik koşulu sağlıyor.
Chrome Ekim ayında kullanıcıların veri girişi yapabildikleri tüm ‘HTTP’ sayfaları güvenilir değil olarak etiketlendirecek. Google bu uygulamanın arama kutusu bulunduran tüm sayfalara da uygulanacağına da vurgu yaptı.
Chrome Güvenlik Ekibi’nde ürün yöneticisi olan Emily Schechter “Kullanıcıların web sitelerine girdikleri hiçbir veri, ağdaki başka kişilerce erişilebilir olmamalı. Bu sebeple 62. Versiyondan başlamak üzere Chrome, kullanıcılar HTTP sitelerine bilgi girişi yaptıkları esnada ‘Güvenilir Değil’ uyarısını göstermeye başlayacak” dedi.
HTTP sayfaları için uygulanan aşırı uygulamalar site sahiplerinin gerekli SSL/TLS sertifikalarını edinmeleri ve kendi HTTPS sitelerini kurmaları konusunda bir baskı oluşturacak gibi görünüyor. Aynı zamanda arama çubuğu barındıran sitelerde de uyarıların verilecek olması, arama özelliğinin çok geniş alanda kullanıldığı göz önünde bulundurulduğunda, kullanıcı girişi ya da ödemelerin yapıldığı sayfalara oranla çok daha fazla uyarı mesajlarının alınacağını gösteriyor.
Site sahipleri 24 Ekim tarihinde yayımlanacak olan Chrome 62’nin kararlı sürüm tarihine kadar yaklaşık altı aylık bir süreye sahipler.
Firefox henüz Chrome’un yeni kullanıcı girişi uyarıları yolunu takip edip etmeyeceği konusunda henüz herhangi bir şey söylemedi fakat o da Ocak ayından bu yana ödeme ve kullanıcı girişi yapılan sayfalarda ‘satır arasında’ uyarılar göstermeye başladı.
Bir web sitesi sahibi Mart ayında ödeme ve kullanıcı griişi sayfalarında HTTPS’yi aktive etmemiş olduğu için uyarılar almaya başlayınca komik bir şekilde Mozilla’ya bu uyarıların kaldırılması talebinde bulunan bir hata raporu göndermişti.
