Nye forbud og regler for lyssky Chrome extension praksis
Google slår ned på vildledende markedsføring og udvidelser med skyggefulde beskrivelser. Læs mere: https://zd.net/2MIQ1k9
Udviklere af Google Chrome og Mozilla Firefox har annonceret en kommende brud med Extended Validation certifikater, der i dag viser en virksomheds navn i adressefeltet på HTTPS sites.
I Chrome 77, hvilket skyldes ud i September, websteder, der bruger Extended Validation (EV) attester, der ikke længere har en plads i adresselinjen for at få vist afsenderens navn.
Noget lignende sker i desktop Firefox 70, der er planlagt til en oktober-udgivelse, og hensigten er den samme.
Både Mozilla og Google er på vej EV oplysninger til bag hængelås-ikon, som brugerne kan klikke på for at få vist certifikatet oplysninger. Mozilla siger sit skifte til en EV indikatorer, der er om “begrænsning af eksponering af EV oplysninger, mens du holder det let tilgængelige”.
EV-certifikater har eksisteret i over et årti, og i deres tidlige dage, hvor de fleste folk der anvendes ikke-mobile enheder til web, de blev krediteret med at skabe tillid i online shopping.
Certifikat leverandører kan opkræve mere for EV-certifikater til ejere af HTTPS-websites, såsom banker og e-handels-websteder, som vil gennemgå et udvidet validering af processen.
De steder, så ville have deres adresse og senere virksomhedens navn i en grøn gade i adresselinjen. Ideen var, at brugerne kunne se, at virksomheden bag en hjemmeside mere let, som ville derfor gøre phishing hårdere.
Men som sikkerhedsekspert Troy Jagt påpegede sidste år, top 10 største sites i dag, herunder Google, YouTube, Twitter og Facebook ikke bruge EV-certifikater, så mange brugere i dag ikke er uddannet til at se for de indikatorer, som de certifikater, give.
Google forklarer, at den nye tilgang til EV-certifikat indikatorer i Chrome 77 er fordi Chrome Sikkerhed UX team “har besluttet, at EV UI beskytter ikke brugere, som er bestemt”.
“Brugere vises ikke til at foretage sikre valg (såsom ikke at indtaste password eller kreditkort-oplysninger), når BRUGERGRÆNSEFLADEN er ændret eller fjernet, som ville være nødvendige for, at EV-UI for at give en meningsfuld beskyttelse,” Google siger.
Derudover EV indikatorer er et eksempel på “positive indikatorer”, som den hængelås, der stadig bruger Chrome til at angive en HTTPS-site.
Chrome vil i sidste ende fjerne hængelåsen for HTTPS-websites, og har allerede begyndt i stedet at fremhæve en rød “Ikke sikker” advarsel til alle HTTP-websites. Firefox 77 vil også følge Google Chrome ‘s forspring på” ikke sikker ” indberetninger til HTTP-websites.
Google yderligere bemærkninger “EV badge tager kostbar skærmplads, kan præsentere aktivt forvirrende navne på fremtrædende UI, og griber ind med Chrome ‘s produkt retning mod neutral, snarere end positive, displayet til sikre forbindelser”.
Et andet problem er, at der i dag smartphones tegner sig for en langt større andel af interaktioner på nettet og mobile web-browsere typisk ikke vise EV indikatorer, som en fremtrædende plads, hvis det hele.
Apple allerede fjernet selskabet navn til EV-certifikater i Safari på iOS 12 og macOS 10.14 sidste år.
Som Jagt skrev i dag, med Safari og nu Chrome og Firefox nu presser EV cert indikatorer bag en hængelås, denne type certifikat, som er “virkelig, virkelig død”.
Mere om Google Chrome og Mozilla Firefox sikkerhed
Chrome ‘ s “mere privat’ Incognito-tilstand: Hjemmesider, kan stadig registrere, at du bruger denGoogle: Vi vil give dig en bedre beskyttelse mod malware, som i Chrome, men kun hvis du logger ind iChrome på Android: Phishing angribere nu kan narre dig med falske adresselinjen Firefox følger i Chrome ‘ s fodspor og vil markere alle HTTP sider som ‘ikke sikkertFirefox for at få en random password generator, som Chromeforskellen mellem Gmail, Google-Konto, og G-Suite konti, TechRepublicGmail fortrolige mode for G-Suite lanceringen i juni CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre