Замок в адресной строке браузера, что это значит
Обновлено: 20.11.2024
На прошлой неделе Google обнародовал график, который будет использоваться для отмены многолетних советов экспертов по безопасности при просмотре веб-страниц — «искать висячий замок». Начиная с июля поисковый гигант будет помечать небезопасные URL-адреса в своем доминирующем на рынке браузере Chrome, а не те, которые уже безопасны. Цель Google? Оказать давление на всех владельцев веб-сайтов, чтобы они приняли цифровые сертификаты и шифровали трафик всех своих страниц.
И Google, скорее всего, одержит верх: доля браузеров Chrome, которая сейчас превышает 60 %, почти гарантирует это.
Специалисты по безопасности высоко оценили кампанию Google и ее возможный финал. «Мне не придется просить маму искать замок», — сказал Честер Вишневски, главный научный сотрудник охранной фирмы Sophos, о переключателе. "Она может просто использовать свой компьютер."
Но что делают конкуренты Chrome? Идти в ногу или придерживаться традиции? Computerworld запустил «Большую четверку» — Chrome, Mozilla Firefox, Apple Safari и Microsoft Edge — чтобы выяснить это.
Сафари
Браузер Apple в настоящее время использует традиционную модель вывесок: он помещает небольшой значок замка в адресную строку, когда страница защищена цифровым сертификатом, а трафик между Mac и сервером сайта зашифрован.
Нет замка? Это означает, что сайт не шифрует трафик.
Однако в последних версиях браузера при определенных обстоятельствах выполняются дополнительные действия. Если пользователь находится на небезопасном сайте, который не заблокирован сертификатом и шифрованием, и пытается выполнять такие задачи, как ввод информации в поля входа или те, которые предназначены для приема номеров кредитных карт, Safari выдает предупреждение красным текстом в адресе. строка, которая начинается с Незащищенный, а затем меняется на Незащищенный веб-сайт. Эти оповещения, которые трудно пропустить, впервые появились в версии Safari в комплекте с macOS 10.13.4, обновлением, выпущенным 29 марта. (Владельцы Mac с OS X 10.11 (El Capitan) или macOS 10.12 (Sierra) 11.1 в тот же день.)
Предупреждение Веб-сайт не защищен также должно появиться, если сертификат устарел или является незаконным.
Файрфокс
Браузер Mozilla похож на Google Chrome; в конечном итоге он пометит все сайты без шифрования отличительным маркером. Но Firefox еще нет.
Мозилла
Однако Mozilla решила изменить иконографию. «Со временем Firefox будет отображать значок перечеркнутого замка для всех страниц, не использующих HTTPS [курсив добавлен], чтобы показать, что они не защищены», — написали Танви Вьяс и Питер Доланжски, инженер по безопасности и менеджер по продукту, соответственно, в записи в блоге более года назад. "По мере развития наших планов мы будем продолжать публиковать обновления, но мы надеемся, что эти изменения вдохновят всех разработчиков предпринять необходимые шаги для защиты пользователей Интернета через HTTPS".
Мозилла
- Введите about:config в адресной строке Firefox
- Найдите security.insecure_connection_icon.enabled
- Дважды щелкните этот элемент; false в разделе Value изменится на true
Хром
Но Google запланировал на этот год несколько дополнительных шагов, которые приблизит Chrome к цели: отказаться от многолетних визуальных сигналов, помечающих шифрование трафика.
Пользователи могут включить поведение Chrome 68, выполнив следующие действия в текущей версии Chrome 66:
- Введите chrome://flags в адресной строке.
- Найдите элемент Отметить незащищенные источники как незащищенные.
- Выберите Включить (отметить предупреждением о небезопасности) и перезапустите Chrome.
- При желании выберите «Включить» (отметить как активно опасный), чтобы вместо этого отображался красный значок.
Edge отображает значок замка в адресной строке, если страница защищена цифровым сертификатом, а трафик между ПК с Windows 10 и сервером зашифрован. Если замка нет, сайт не шифрует трафик, вместо этого полагаясь на HTTP.Однако, чтобы получить полную историю, пользователи должны щелкнуть значок — i в круге — и прочитать текст в появившемся всплывающем окне. «Будьте осторожны здесь», — предупреждает Эдж. "Ваше подключение к этому веб-сайту не зашифровано. Это упрощает кражу конфиденциальной информации, такой как пароли."
Майкрософт
Старший репортер Грегг Кейзер рассказывает о Windows, Office, Apple/enterprise, веб-браузерах и веб-приложениях для Computerworld.
При посещении веб-сайта кнопка "Идентификация сайта" (в виде замка) появляется в адресной строке слева от веб-адреса. Вы можете быстро узнать, зашифровано ли соединение с просматриваемым вами веб-сайтом, а в некоторых случаях и узнать, кому принадлежит веб-сайт. Это должно помочь вам избежать вредоносных веб-сайтов, пытающихся получить вашу личную информацию.
При просмотре защищенного веб-сайта кнопка "Идентификация сайта" будет помечена серым замком. Однако в некоторых случаях вы можете увидеть серый замок с предупреждающим треугольником или серый замок с красной чертой .
Нажав на значок замка слева от адресной строки, вы откроете панель сведений о сайте, на которой можно просмотреть более подробную информацию о состоянии безопасности подключения.
Содержание
Предупреждение. Никогда не отправляйте конфиденциальную информацию (например, банковскую информацию, данные кредитной карты или номера социального страхования) на веб-сайт, если в адресной строке отображается замок с предупреждающим треугольником или красная черта над ним. В таких случаях вы, возможно, не общаетесь с предполагаемым веб-сайтом, и ваши данные не защищены от прослушивания!
Серый замок без предупреждающего треугольника или красной черты означает, что:
- Вы определенно подключены к веб-сайту, адрес которого указан в адресной строке, и соединение не было перехвачено.
- Соединение между Firefox и веб-сайтом зашифровано для предотвращения прослушивания.
Нажмите на замок, чтобы узнать, использует ли веб-сайт сертификат расширенной проверки (EV). Сертификат EV — это особый тип сертификата сайта, для которого требуется гораздо более строгий процесс проверки подлинности, чем для других типов сертификатов.
Для сайтов, использующих сертификаты EV, при нажатии на серый замок отображается название юридической компании или организации и местонахождение владельца веб-сайта.
Серый замок с предупреждающим треугольником указывает на то, что соединение между Firefox и веб-сайтом зашифровано лишь частично и не препятствует прослушиванию. По умолчанию Firefox не блокирует небезопасный пассивный контент, такой как изображения; вы просто увидите предупреждение о том, что страница не полностью защищена. Дополнительные сведения см. в разделе Блокировка смешанного содержимого в Firefox.
Не отправляйте конфиденциальную информацию на сайты, где кнопка "Идентификация сайта" представляет собой висячий замок с предупреждающим треугольником.
Серый замок с предупреждающим треугольником также отображается для предупреждений о сертификатах веб-сайтов, например для сайтов с самозаверяющими сертификатами или сертификатами, которые не выданы доверенным центром. Это проблема, которую должен решить разработчик сайта.
Не отправляйте конфиденциальную информацию на сайты, где кнопка "Идентификация сайта" представляет собой замок с красной чертой.
Эти замечательные люди помогли написать эту статью:
Волонтер
Расширяйтесь и делитесь своим опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.
Статьи по теме
Панель информации о сайте
На панели «Информация о сайте» вы можете просмотреть информацию о безопасности подключения и идентификации веб-сайта, а также выбрать любой сайт.
Как обсуждалось в предыдущей статье, сами SSL-сертификаты бывают разных форм: от самодельных с использованием OpenSSL (вы даже можете быть собственным центром сертификации) и бесплатных от Let's Encrypt до приобретенных решений от «признанных» центров сертификации. Никто не делает ничего, кроме подтверждения владения доменом, и, кроме подтверждения шифрования, никоим образом не подтверждает методы безопасности этого веб-сайта. Это подтверждает, что владелец веб-сайта имеет административный доступ к веб-серверу и подтвердил свою личность способом, который зависит от выбранного сертификата SSL.
Давайте проиллюстрируем, какие шаги должны предпринять пользователи, решая, доверять ли веб-сайту, и, в некоторых случаях, насколько легко киберпреступникам обойти так называемые процессы проверки.
Доменам нельзя доверять
Подтверждение Whois в основном бесполезно
Чтобы предотвратить спам, большинство веб-сайтов скрывают контактную информацию веб-сайта или, в лучшем случае, предоставляют только общие контакты.Кроме того, хостинг-провайдер может находиться где угодно и редко отражает физическое местонахождение бизнеса.
Должная осмотрительность всегда необходима
Как упоминалось в предыдущих статьях, я владею и поддерживаю несколько веб-сайтов с низким трафиком. Для удобства я использовал бесплатные SSL-сертификаты Let's Encrypt (любезно предоставленные моим хостинг-провайдером). В настоящее время у меня нет электронной коммерции, и я использую платежные шлюзы и прямое размещение на счета компании в качестве предпочтительных способов оплаты. Таким образом, у меня нет требований PCI-DSS, поэтому этот кошмар приходится решать другим.
Однако в соответствии с рядом правил (включая GDPR) каждый сайт имеет подробную политику конфиденциальности и использования файлов cookie, в которой точно указывается, какая информация собирается от посетителей сайта. Я знаю, что мои сайты соответствуют лучшим отраслевым практикам, своевременно обновляются с помощью исправлений безопасности и так далее. Как мне убедиться, что сайты, которые я посещаю, одинаково безопасны и заслуживают доверия? Что еще более важно, каковы риски?
Бесплатная загрузка может нанести ущерб вашей системе или запустить инструменты кейлоггинга, нажатие на ссылку может запустить программу или изменить реестр в фоновом режиме, поскольку окна уведомлений часто намеренно избегают. Нажатие чего-либо на этих сайтах может вызвать проблемы. Фактически, даже загрузка веб-страницы может сделать это, поскольку существует множество плагинов для сбора данных о посетителях после их подключения к сайту. Если ваша ОС или веб-браузер имеют уязвимость (даже базовые инструменты отслеживания посетителей могут получить сведения о браузере и ОС), то вы уязвимы для атаки. У них будет ваш IP-адрес (если вы не используете VPN), чтобы запустить соответствующий хакерский инструмент.
Некоторые советы и предупреждающие знаки, чтобы защитить себя в Интернете
Следующие (не исчерпывающий список) советы уменьшат риск при просмотре веб-страниц:
Обновления и исправления безопасности для браузеров, ОС и программного обеспечения
Немедленно установите их, так как хакеры и специалисты по тестированию на проникновение имеют доступ к общедоступным данным о последних уязвимостях и могут использовать инструменты для поиска определенных уязвимостей.
Используйте безопасные браузеры (со встроенными параметрами безопасности)
Ваш выбор является личным предпочтением. Я использую пять или шесть разных браузеров, включая Brave, Firefox и Tor.
Используйте надстройки и расширения для защиты браузера
Хорошей идеей будет усиление безопасности вашего веб-браузера. Все, что предлагает Electronic Frontier Foundation, является достойным дополнением, равно как и DuckDuckGo's Privacy Essentials.
Используйте VPN, чтобы скрыть свой фактический IP-адрес, и циклически меняйте его каждые 30 минут или около того. Даже бесплатные скроют вас от киберпреступников. Сделайте свой выбор с умом, так как некоторые VPN просто собирают данные для маркетологов, а сами становятся целью хакеров. Я использую коммерческое решение.
Использование такого инструмента, как SEO Quake, может дать некоторые подсказки о легитимности веб-сайта, включая возраст, количество внешних и внутренних ссылок и многое другое.
Веб-сайт
Подозрительные веб-сайты часто не имеют основ. Английский может быть слабым. В нем может отсутствовать какая-либо реальная информация о владельце веб-сайта, например контактные данные. Обычно для этого не требуются страницы политики конфиденциальности и использования файлов cookie. Он может продвигать биткойны или другие цифровые валюты в качестве предпочтительных способов оплаты. В большинстве случаев это будет просто казаться «неправильным» или предлагать что-то по цене, слишком невероятной, чтобы быть правдой. В нынешних условиях мошенничество с COVID-19 является обычным явлением, поэтому будьте осторожны.
Заключение
Вы когда-нибудь замечали значок «Заблокировано» в своем браузере?
Все современные браузеры сообщают, что просматриваемый вами веб-сайт защищен. Вот пример индикатора заблокированного сайта в браузере Firefox.
Иными словами, если вы не видите значок замка, просматриваемый веб-сайт не защищен.
Но что это значит? Это важно для вас? Ответы просты, да. Это особенно важно, когда вы подключаетесь к Интернету через общественный Wi-Fi, например, в кафе или библиотеке.
Реклама
Нажмите для получения дополнительной информации
Реклама
Нажмите для получения дополнительной информации
Тридцать лет назад, когда Интернет был молод, компьютерные инженеры не беспокоились о слежке или выдаче себя за других в Интернете. Мы предполагали, что любой, кто может подключиться к сети, честен и действует из лучших побуждений. Это было наивно, но так оно и было.
Когда мы поумнели, мы разработали более безопасные методы. Были добавлены две части: шифрование и сертификация. Шифрование затрудняет чтение личных данных. Сертификация убедитесь, что вы общаетесь со своим банком, а не с какой-то пиратской котельной в чужой стране. Шифрование можно взломать, а сертификаты можно подделать, но безопасная связь все равно намного безопаснее.
Однако в те дни, когда компьютеры и сети были в тысячу раз медленнее, чем сегодня, безопасность была дорогой. Безопасный просмотр не заменил небезопасный просмотр, потому что безопасный просмотр тормозил работу компьютеров и сетей, в которых он работал. Итак, инженеры пошли на компромисс. Большая часть общения через Интернет, особенно в первые дни, не должна была быть конфиденциальной. Никому не было дела до того, что кто-то подглядывал за ними, читая биржевые котировки на Yahoo. Несколько денежных транзакций было выполнено в общедоступных сетях. Компромисс заключался в том, чтобы сохранить активными как небезопасные, так и безопасные методы и использовать защищенную связь только в случае крайней необходимости.
Реклама
Нажмите для получения дополнительной информации
Реклама
Нажмите для получения дополнительной информации
Многое изменилось. Такие сайты, как Amazon, больше не используют разблокированные каналы связи.
Сегодня большинство финансовых транзакций имеют некоторые элементы в Интернете, и сбор данных о привычках людей превратился в крупный бизнес. Производительность компьютера и сети улучшилась до такой степени, что разница между безопасным и небезопасным измеряется тысячными долями секунды, а не минутами. В сегодняшних условиях данные — это новая прибыльная культура. Все данные, даже страницу каталога, стоит зашифровать. Следовательно, компьютерная индустрия призывает всех усложнять жизнь преступникам и всегда использовать безопасную связь.
Многие веб-сайты по-прежнему используют незащищенную связь, но их число быстро сокращается. Google предупредил, что скоро перестанет выдавать небезопасные сайты в результатах поиска. Разблокированный индикатор теперь является признаком того, что веб-сайт может быть опасным. Хакеры не хотят утруждать себя или оставлять улики правоохранительным органам, устанавливая защищенные каналы связи.
Реклама
Нажмите для получения дополнительной информации
Читайте также: