Nya förbud och regler för skuggiga Chrome extension praxis
Google sprickor ner på vilseledande marknadsföring och tillägg med skumma beskrivningar. Läs mer: https://zd.net/2MIQ1k9
Utvecklarna av Google Chrome och Mozilla Firefox har aviserat en kommande brytning med Extended Validation-certifikat som visar ett företags namn i adressfältet av HTTPS-webbplatser.
I Chrome 77, som kommer ut i September, webbplatser som använder Extended Validation (EV) certifikat inte längre har en plats i adressfältet för att visa webbplatsen i ägarens namn.
Något liknande sker i skrivbordet Firefox 70, som är planerad till oktober släpper, och avsikten är den samma.
Både Mozilla och Google är att flytta EV information till bakom hänglås-ikon som användaren kan klicka på för att visa certifikatinformation. Mozilla säger dess förändring till EV indikatorer handlar om att “minska exponeringen av EV information medan du håller den enkelt tillgänglig”.
EV-certifikat har funnits i över ett decennium och under deras tidiga dagar, då de flesta människor som används för icke-mobila enheter för webben, de var krediteras med att öka förtroendet för online shopping.
Intyg leverantörer kan ta mer betalt för EV-certifikat till ägare av HTTPS-webbplatser, såsom banker och e-handelssajter, som skulle genomgå en utökad verifiering.
De platser som då skulle ha deras adress och senare företagets namn i ett grönt kvarter i adressfältet. Tanken var att användarna skulle kunna se den person bakom en webbplats lättare, vilket skulle därför göra phishing svårare.
Men som säkerhet forskare Troy Hunt påpekade förra året, de 10 största sajterna i dag, bland annat Google, YouTube, Twitter och Facebook inte använda EV-certifikat, så många användare som i dag inte är utbildad för att leta efter de indikatorer som certifikaten ger.
Google förklarar som sin nya strategi för EV-certifikat indikatorer i Chrome 77 beror på Chrome-Säkerhet UX-team “har bestämt att EV UI inte skydda användare som avsett”.
“Användare visas inte för att göra säkra val (till exempel inte att ange lösenord eller kreditkortsuppgifter) när UI ändras eller tas bort, vilket skulle vara nödvändigt för EV UI för att ge meningsfull skydd”, säger Google.
Dessutom, EV indikatorer är ett exempel på “positiva indikatorer”, såsom hänglås som fortfarande använder Chrome för att ange en HTTPS-sida.
Chrome kommer så småningom att ta bort hänglås för HTTPS-webbplatser, och har redan börjat i stället för att betona en röd “Inte säker” varning för alla HTTP-sidor. Firefox 77 kommer också att följa i Google Chrome leda på “inte säker” varningar för HTTP-sidor.
Google noterar vidare “EV badge tar upp värdefull skärmyta, kan presentera aktivt förvirrande företagsnamn i framträdande UI, och stör Chrome produkt riktning mot neutrala, snarare än det positiva, visa för säkra anslutningar”.
Ett annat problem är att dagens smartphones står för en mycket större andel av interaktioner på nätet och mobila webbläsare brukar inte visa EV indikatorer som tydligt om det hela.
Apple bort redan företagsnamn för EV-certifikat i Safari på iOS-12 och macOS 10.14 förra året.
Som Jaga skrev idag, med Safari och nu Chrome och Firefox nu driver EV cert indikatorer bakom ett hänglås av denna typ av certifikat är “riktigt, riktigt död”.
Mer om Google Chrome och Mozilla Firefox säkerhet
Chrome “mer privata” inkognitoläge: Webbplatser kan ändå känna att du använder detGoogle: Vi ska ge dig ett bättre skydd mot skadlig kod i Chrome, men bara om du loggar in iChrome på Android: Phishing-attacker nu lura dig med falska adressfältet i Firefox följer i Chrome ‘s fotspår och kommer att markera alla HTTP-sidor som “inte säkert”Firefox för att få ett slumpmässigt lösenord generator, som Chromeskillnaden mellan Gmail, Google-Konto och G Suite konton TechRepublicGmail konfidentiell läge för G-Sviten som lanseras i juni CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter