Google incite à fermer une importante échappatoire Web cryptée

Google incite à fermer une importante échappatoire Web cryptée
4.3 (85.63%) 32 votes


La poussée d'internet a abouti à un. Le prochain défi, cependant, consiste à achever la transition de l’utilisation combinée de l’exigence de protection partout dans le monde. Et sur Internet, Google propose publiquement un moyen simple et direct aux sites Web d’éliminer ces points faibles subtils.

Lorsque le chiffrement HTTPS était encore une nouveauté, les développeurs Web devaient créer des fonctionnalités permettant l'interopérabilité des pages HTTPS et HTTP, car la majorité des sites étaient toujours non chiffrés. Les architectes HTTPS ont donc créé des mécanismes pour mettre à niveau ou rétrograder les sessions de navigation entre HTTP et HTTPS en cas de besoin, afin que les utilisateurs ne soient pas empêchés d'utiliser certains sites complètement. Mais comme le HTTPS a proliféré, il est enfin temps de contourner ou d’éliminer autrement ces caractéristiques intermédiaires. Sinon, les pages toujours servies sur HTTP, comme ces pages de redirection, risquent toujours d'être interceptées ou manipulées.

"Il est agréable de voir que Google démontre qu'il s'agit d'un paramètre viable par défaut pour les domaines de premier niveau."

Josh Aas, cryptons

Ainsi, Google a intégré la protection HTTPS directement dans une poignée de domaines de premier niveau, les suffixes à la fin d'une URL telle que ".com". En 2015, Google a ajouté son domaine de premier niveau .google interne à la liste de préchargement en tant que pilote. En 2017, la société a démarré avec les suffixes ".foo" et ".dev", gérés de manière privée. Mais en mai 2018, Google a lancé les enregistrements publics de «.app», ouvrant le cryptage automatique préchargé à toute personne qui le souhaitait. En février de cette année, il s’est également ouvert au public.

Ce qui signifie qu'aujourd'hui, lorsque vous enregistrez un site via Google qui utilise ".app", ".dev" ou ".page", cette page et toutes les pages que vous en construisez sont automatiquement ajoutées à une liste regroupant tous les navigateurs classiques, y compris Chrome, Safari, Edge, Firefox et Opera, vérifiez quand ils configurent des connexions Web cryptées. Il s'agit de la liste de préchargement HTTPS Strict Transport Security, et les navigateurs l'utilisent pour savoir quels sites doivent uniquement être chargés automatiquement en tant que HTTPS chiffré, au lieu de recourir à HTTP non chiffré dans certaines circonstances. En bref, il automatise complètement ce qui peut autrement être un schéma difficile à mettre en place.

"La sécurité Web est complexe, et tous les utilisateurs finaux, voire tous les créateurs de sites, ne comprennent pas toutes les complexités", a déclaré Ben Fried, directeur de l'information de Google. «Ce qui me plaît dans l’utilisation de ces nouveaux domaines de premier niveau de cette manière, c’est que cela réduit considérablement la charge qui incombe à chaque créateur de site d’appliquer les meilleures pratiques. Rien ne doit être fait, car chaque sous-domaine de ce domaine de premier niveau est: HTTPS uniquement et le navigateur n'essaiera même pas d'y accéder de toute autre manière. "

Le moment décisif est venu lorsque l'ingénieur Ben McIlwain s'est rendu compte qu'un domaine de premier niveau entier pouvait figurer sur la liste de préchargement. "En interne, ça a décollé de là", explique Fried. "Nous avons réalisé que ce sont deux choses qui se sont développées indépendamment et qui soudainement étaient beaucoup plus puissantes lorsqu'elles étaient combinées."

couvre la sécurité des informations, la confidentialité numérique et le piratage informatique pour WIRED.

Les développeurs de sites qui connaissent la liste de préchargement HSTS peuvent y ajouter des URL individuellement plutôt que d'utiliser un domaine de premier niveau comme Google, mais Fried souligne qu'il s'agit d'un processus beaucoup plus laborieux qui implique également d'attendre que les navigateurs en obtiennent de nouveaux. versions mises à jour de la liste de préchargement. En ajoutant de manière proactive des domaines de premier niveau à la liste, les navigateurs reconnaîtront automatiquement chaque URL créée à partir de celles-ci comme nécessitant des connexions chiffrées automatiques.

Google affirme avoir jusqu'à présent des millions de sites enregistrés sur ses domaines de premier niveau, y compris des centaines de milliers sur .app seulement.

«Le Web a démarré avec aucune sécurité de transport de données par défaut. C’est un héritage enraciné dont nous devons nous écarter le plus rapidement possible», déclare Josh Aas, qui dirige l’autorité de certification HTTPS à but non lucratif, Let's Encrypt. "Normalement, les navigateurs ont une interaction initiale avec un site via HTTP simple afin de déterminer s'il souhaite ou non le protocole HTTPS. Le préchargement HSTS rend cette interaction non sécurisée initiale inutile. Il est agréable de voir que Google démontre qu'il s'agit d'un paramètre par défaut viable pour le haut." domaines de niveau. "

Comme pour toutes les extensions de Google, le fait de devenir un registraire de domaine de premier niveau ne fait que renforcer davantage la position enracinée et influente de Google sur le Web, pour le meilleur ou pour le pire. Mais quand il s'agit de promouvoir au moins les pré-charges HSTS, le déménagement semble être pour le mieux. Les suffixes astucieux tels que .app et .dev ne résolvent pas tous les problèmes de sécurité Internet, mais ils offrent aux développeurs de sites un moyen simple de vérifier un élément crucial de la liste. Et Fried dit que si les utilisateurs accèdent aux domaines de premier niveau de Google et bénéficient des avantages en matière de sécurité sans même s’en rendre compte, c’est l’idée même.


Plus de grandes histoires câblées

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *