O Google está melhorando a segurança da Internet do Chrome, atualizando automaticamente solicitações HTTP inseguras para solicitações HTTPS para 100% dos usuários do navegador da empresa. Esse recurso é chamado de atualizações HTTPS e protegerá links antigos que utilizam http://, tentando primeiro conectar-se automaticamente ao URL por meio do protocolo https:// criptografado.
Google Chrome atualiza automaticamente solicitações HTTP para HTTPS
Uma implementação limitada desse recurso no Google Chrome começou em julho, mas a partir de 16 de outubro, o Google o lançou para todos os usuários do canal estável. “Ativamos atualizações HTTPS por padrão no tronco na semana passada e atualmente estamos implementando para 100% estável”, diz uma atualização do líder de gerenciamento do programa de engenharia do Google, Chris Thompson.
As atualizações HTTPS são um recurso do Google Chrome que atualiza automaticamente todas as navegações do mainframe para HTTPS, a versão segura do protocolo de transferência de hipertexto, garantindo ao mesmo tempo um retorno rápido para HTTP, se necessário.
Historicamente, os navegadores frequentemente faziam solicitações HTTP inseguras para sites que eram capazes de suportar HTTPS. Seja porque os usuários clicaram em links antigos ou porque o conteúdo dos sites não foi atualizado para usar o novo protocolo, as conexões através do protocolo HTTP não são criptografadas e podem ser espionadas para roubar credenciais ou outros dados confidenciais.
O Google diz que isso também pode acontecer carregando recursos HTTP de:
Um usuário navegando para um site usando HSTS (HTTP Strict Transport Security) pela primeira vez,
Acessar um site cujo padrão é HTTPS, mas não emprega HSTS, ou Visitar um site que suporta HTTPS e HTTP sem redirecionamento automático para HTTPS.
Em cada caso, a privacidade e a segurança dos utilizadores são comprometidas através de ligações desnecessárias e inseguras. Esse problema persistiu em várias configurações, afetando potencialmente muitas solicitações. Os métodos existentes para impor HTTPS, como a lista de pré-carregamento HSTS ou listas de atualização selecionadas manualmente, têm limitações. Eles envolvem configurações complexas e arriscadas ou atendem a uma variedade limitada de sites.
Além disso, manter uma lista atualizada de sites com suporte HTTPS pode ser desafiador e consumir muita largura de banda, muitas vezes fazendo com que informações desatualizadas cheguem aos usuários.
O Google está corrigindo problemas de segurança com atualizações de HTTPs
Com esta atualização, o Chrome pretende atualizar automaticamente os links HTTP na página para HTTPS, implementando um mecanismo de fallback rápido para HTTP, se necessário. Além disso, o navegador também pode respeitar um cabeçalho de opt-out, permitindo que servidores web que servem conteúdo diferente em HTTP e HTTPS evitem atualizações automáticas.
Este comportamento exigirá modificações na especificação Fetch, particularmente no que diz respeito à atualização de solicitações de navegação de mainframe e ao tratamento de erros de rede em solicitações atualizadas.
A atualização afeta vários aspectos da navegação:
- Está confinado às navegações do mainframe, com atualizações de sub-recursos regidas pelas políticas de conteúdo misto existentes.
- As navegações iniciadas através da barra de URL ou JavaScript são elegíveis para atualizações.
A atualização afeta apenas solicitações idempotentes como GET, alinhando-se às atuais políticas de conteúdo misto para formulários em páginas atualizadas. - Os redirecionamentos para HTTP das navegações HTTPS iniciais também são atualizados.
Embora esta atualização automática não evite downgrades, ela não oferece menos segurança do que a norma atual. - Limita a exposição a invasores passivos, embora invasores ativos possam dificultar o processo de atualização. É importante ressaltar que esta mudança pode reduzir a motivação dos desenvolvedores para retificar referências HTTP.
No entanto, dada a tendência atual de marcar páginas HTTP como “Não seguras”, esta atualização é uma medida proativa para proteger os usuários, especialmente em sites que provavelmente não serão atualizados para HTTPS.