Для выявления небезопасных сайтов одного только красного крестика маловато

Как вы уже, вероятно, слышали, Google, похоже, планирует изменить подход к маркировке сайтов на основе оценки уровня их безопасности. С этой целью, как утверждается, в адресной строке браузера Google Chrome отображаемый адрес страницы будет дополнен значком в виде красного крестика. Его присутствие должно означать для посетителей страницы, что данный сайт не поддерживает шифрование трафика.

В некотором смысле это хорошая идея. Действительно, гораздо проще перенаправить веб-сессию куда-либо, если сайт не шифруется и, соответственно, не имеет необходимого сертификата безопасности. И точно также проще перехватить отправляемую или принимаемую вами конфиденциальную информацию, если вы полагаетесь лишь на незащищенный протокол HTTP.

Однако важно иметь в виду, что, если маркировка сайтов выполняется лишь по признаку использования им криптографической защиты, то это не гарантирует пользователю безопасность в случае отсутствия метки. А ее присутствие вовсе не означает, что сайт действительно имеет небезопасные элементы и пользователь подвергается повышенному риску. Фактически, отдавая предпочтение сайтам с шифрованием передаваемых данных, Google ставит в крайне невыгодное положение сайты, созданные небольшими компаниями или индивидуальными пользователями, ничего не предлагая пользователям Сети в качестве компенсации.

В результате метка в виде красного крестика может служить чем-то вроде позорного клейма для веб-сайтов, единственным упущением которых в плане безопасности является лишь отсутствие поддержки HTTPS. Хуже, однако, то, что Google планирует реализовать свои планы в области безопасности, понижая рейтинг сайтов без HTTPS в ответах на поисковые запросы. Для валадельцев малых сайтов и индивидуальных веб-страниц плата в 200 долл. за использование протокола Secure Sockets Layer (SSL) может оказаться неоправданной или неподъемной.

Еще хуже, что сайт с поддержкой протокола HTTPS на самом деле может быть небезопасным. Он может содержать вредоносный код или переводить пользователей на фишинговый сайт. Разве что в этом случае вы будете чувствовать себя уютнее и спокойнее.

Те мне менее во многих случаях очень важно настаивать на применении SSL-шифрования, обеспечиваемого HTTPS-сайтами. Любой сайт, имеющий отношение к электронной коммерции, в обязательном порядке должен использовать защищенные соединения. И если вы не обнаруживаете зеленый замочек или зеленую полоску в адресной строке браузера, не стоит доверять этому сайту свои персональные данные или финансовую информацию.

Я не утверждаю, что использовать веб-сайт с включенным SSL — это пустая идея. Напротив, в этом есть смысл. Но дело в том, что это не является гарантией безопасности. Точно так же то, что вы не видите на веб-странице метки, подтверждающей ее безопасность, не означает, что она действительно опасна для посетителя.

Например, существует множество корпоративных сайтов, главная страница которых представляет собой простую HTTP-страницу. Но как только вы перейдете в коммерческий раздел, чтобы что-то приобрести, немедленно произойдет переключение на протокол HTTPS. В таких разделах трафик, связанный с передачей персональной или финансовой информации, нужно защищать и шифровать при том, что сайт не должен содержать и других упущений в своей защите.

Последнее как раз имеет принципиальное значение. То, что соединение между вашим компьютером и каким-либо сайтом защищено криптографией не исключает возможность потери или компрометации данных вследствие использования негодных практик, наличия брешей в системе безопасности сайта или злонамеренных действий его персонала. К сожалению, способов компрометации данных существует множество.

В настоящее время многие сайты, включая крупные сайты для электронной коммерции, продолжают использовать протокол HTTP для доступа к ним и включают шифрование только в тех случаях, когда нужно передать финансовую информации. Хорошим примером подобной практики является сайт компании Apple (apple.com), который не использует SSL до тех пор, пока вы не перейдете на страницу оформления заказа. Это никак не вредит безопасности Apple или ее сайта, но, согласно новой политике, Google, видимо, понизит рейтинг Apple при обработке поисковых запросов.

С другой стороны, я могу создать сайт с адресом вроде https://www.imabadguy.com (в реальности этого сайта нет), и Google пометит его зеленым замочком, что позволит присвоить ему более высокий рейтинг из предположения, что он имеет улучшенную защиту. При этом я могу напичкать главную страницу всевозможными ссылками, загружающими вредоносное ПО и вирусы, перенаправляющими пользователя на фишинговые сайты и т. д., и это никак не скажется на рейтинге.

К счастью, помимо шифрования трафика принимаются дополнительные меры защиты пользователей. Подобно многим компаниям, специализирующимся в области информационной безопасности, Google отслеживает сайты, содержащие вредоносное ПО. Я неоднократно замечал, что используемые мною программные средства защиты предупреждают меня об опасности, если я оказываюсь на странице, содержащей потенциально вредоносный код.

Особую озабоченность вызывает вопрос, что будет, если разработчики браузеров станут более настойчиво требовать применения SSL. Не получится ли так, что вместо предупреждающего красного крестика в адресной строке мы столкнемся с прямой блокировкой доступа к таким сайтам с запросом разрешения на выполнение дальнейших действий? Представьте, что вы всего лишь хотите посмотреть размещенные кузиной видеоролики с записью проделок ее кота, а перед вами всплывает диалоговое окно с вопросом, уверены ли вы в том, что хотите перейти на небезопасный сайт.

Информация о характере вашего подключения к тому или иному веб-сайту, конечно, полезна, но она в любом случае у вас есть. И вовсе не очевидно, что дополнительные меры по вашему информированию имеют смысл.