- Jak Chrome i Firefox zmienią traktowanie stron HTTP zbierających hasła
- Czego oczekiwać
- *Źródło: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
- *Źródło: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
- *Źródło: https://twitter.com/rlbarnes/status/814579588072349697
- *Źródło: https://twitter.com/ryanfeeley/status/801539237682302987 & http://techdows.com/2016/09/firefox-51-insecure-password-warning.html
- Strony, które są zagrożone
- Co to za poprawka?
- Opcja 1 - Idealna poprawka
- Opcja 2 - Poprawka krótkoterminowa
- Wniosek
- Połączone zasoby
Przez: Ashley Berman Hale
Jak Chrome i Firefox zmienią traktowanie stron HTTP zbierających hasła
W styczniu tego roku (2017) Chrome i Firefox zaczną wyświetlać symbole „niezabezpieczone” na pasku adresu stron HTTP, które wymagają logowania użytkownika. Chrome doda również notację na stronach, które przechwytują informacje o karcie kredytowej; ostrzeżenie, które jest już dostępne w najnowszej wersji Firefoksa. Chociaż zmiany te nie będą miały bezpośredniego wpływu na rankingi wyszukiwarek (mobilnych ani innych), mogą mieć znaczący pośredni wpływ na wtórne sygnały SEO, takie jak zaangażowanie witryny, współczynnik odrzuceń i czas w witrynie. Mogą nawet zranić liczbę odsłon na odwiedziny i konwersje witryn, jeśli wpływ na witrynę jest powszechny.
Historycznie powiadomienia o zabezpieczeniach koncentrowały się tylko na stronach, które zbierają informacje o kartach kredytowych, więc ta większa koncentracja na stronach zbierających informacje logowania jest stosunkowo nowym obszarem. Tylko o 25% sieci przeszło na HTTPS aby potencjalnie wpłynąć na wiele stron HTTP; zwłaszcza, jeśli posiadają szablony logowania w całej witrynie. Google był zdecydowanie polecam witryny przechodzące na HTTPS przez ponad rok, a nawet stworzyli niewielki algorytmiczny ranking rankingowy dla witryn, które zachęcają do zmiany. Ta runda aktualizacji przeglądarki wskazuje na potrzebę aktualizacji stron internetowych, aby mogły nadal budować zaufanie i bezpiecznie współpracować z użytkownikami.
Czego oczekiwać
Chrome 56 Aktualizacje HTTPS
Obecna przeglądarka Chrome na komputery stacjonarne to Chrome 55, więc wersja, która zostanie uruchomiona jeszcze w tym miesiącu, to Chrome 56. Chrome jest ustawiony na domyślnie automatyczna aktualizacja i aktywnie sprawdza aktualizacje z Google co 5 godzin, więc możesz oczekiwać, że większość użytkowników uruchomi Chrome 56 wkrótce po jego uruchomieniu. Chrome 56 doda szary pasek „Not Secure” na pasku adresu, przed adresem URL na wszystkich stronach HTTP zawierających funkcję logowania, jak pokazano poniżej: (Google publikuje wszystkie dzienniki aktualizacji Chrome jeśli potrzebujesz dalszych szczegółów.)
*Źródło: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
To pierwszy krok w wielofazowym planie Chrome, który ostrzega użytkowników o potencjalnych problemach z bezpieczeństwem i zachęca webmasterów do przejścia na HTTPS. Kolejne fazy tego projektu obejmują następujące kroki: (Lub sprawdź pełne ogłoszenie od Google , Jeśli wolisz.)
- Początkowo Chrome doda szary komunikat „Not Secure” na stronach HTTP, zbierając informacje o karcie kredytowej lub dane logowania (nazwa użytkownika i hasła), jak pokazano powyżej.
- Następnie Chrome doda szary komunikat „Not Secure” na wszystkich stronach HTTP, do których uzyskuje dostęp użytkownik podczas przeglądania w trybie incognito.
- Ostatecznie wszystkie strony HTTP pokażą szary komunikat „Nie zabezpieczyć”.
- W końcu ostrzeżenie będzie wyświetlane w bardziej agresywny czerwony znak i czcionka, zamiast tylko szary tekst, jak pokazano poniżej:
Google nie podał dokładnego harmonogramu tych zmian, ale spodziewamy się, że zostaną one w pełni wprowadzone w ciągu najbliższych 1-2 lat. Zmiany te mogą zostać wprowadzone w przyszłych wersjach lub Chrome, ale jest bardziej prawdopodobne, że niektóre lub wszystkie z nich zostaną wprowadzone jako przyrostowe zmiany w ramach numeru wersji. EX: Wersja 56.3 lub 57.3.2. Stopień zmian związanych z aktualizacją (pełna aktualizacja wersji lub przyrostowa aktualizacja) może mieć wpływ na poziom informacji i zaawansowane ostrzeżenia udostępniane przez Chrome przed uruchomieniem każdej fazy planu.
*Źródło: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
Aktualizacje Firefox 51 HTTPS
Obecna wersja przeglądarki Firefox na komputery stacjonarne to wersja 50, więc aktualizacja, która wydarzy się w tym miesiącu, dotyczy Firefoksa 51. Firefox podąża coraz ostrzejszą ścieżką, aby zaktualizować swoje alerty zabezpieczeń HTTP. Zamiast wprowadzać aktualizacje z upływem czasu, ich aktualizacja będzie zawierać symbol „Nie zabezpieczyć” (szary zamek z czerwonym ukośnikiem) i przycisk „Informacje” na pasku adresu od samego początku. Będą używać tego leczenia tylko w przypadku stron zawierających dane logowania. Aktualizacja Firefoksa nie obejmuje stron, które zbierają tylko informacje o kartach kredytowych, chyba że mają także funkcję logowania.
W Firefoksie użytkownicy mogą rozwinąć ikonę „Nie zabezpieczyć”, aby wyświetlić więcej szczegółów na temat tego, dlaczego Firefox wyświetla ostrzeżenie dla konkretnej strony, a także mogą kliknąć ikonę „Informacje”, aby uzyskać bardziej ogólne informacje o HTTPS. Podobnie jak Chrome, Firefox jest również ustaw na automatyczną aktualizację domyślnie, więc większość użytkowników może oczekiwać najnowszej wersji przeglądarki wkrótce po jej uruchomieniu.
*Źródło: https://twitter.com/rlbarnes/status/814579588072349697
Firefox doda również alert dla pól logowania, w których będą wyświetlać zapisane poświadczenia. Podobnie jak alert paska adresu, te alerty w formie formularza można rozszerzyć o dodatkowe informacje.
*Źródło: https://twitter.com/ryanfeeley/status/801539237682302987 & http://techdows.com/2016/09/firefox-51-insecure-password-warning.html
** AKTUALIZOWANY 25 STYCZNIA 2017 ** Wydano Firefoksa szczegóły dotyczące ich zmian na blogu 24 stycznia 2017 r. Pełne informacje o wersji v51 są również publiczne.
Strony, które są zagrożone
Poniżej znajdują się cztery typy stron HTTP, na które będą miały wpływ te aktualizacje przeglądarki:
- Strony HTTP, które zbierają informacje o płatności (ostrzeżenie tylko dla Chrome).
- Strony HTTP z rozwijanymi lub wbudowanymi informacjami logowania.
- Strony HTTP z wyskakującymi modułami JavaScript do logowania lub podobnymi.
- Dedykowane strony logowania, które nie są na HTTPS.
Google zaczęło wyświetlać alerty dotyczące tej aktualizacji przeglądarki Google Search Console , więc należy zalogować się do Google Search Console i sprawdzić wszystkie protokoły swojej witryny, w tym: http: //, http: // www, https: // i https: // www. Search Console liczy każdy z nich jako oddzielne zestawy danych i jest możliwe, ale mało prawdopodobne, że otrzymasz wiadomość, nawet wersję HTTPS.
Przykład alertu Search Console znajduje się poniżej. Są one zazwyczaj wysyłane z przykładowymi adresami URL, na które miałoby to wpływ, aby pomóc webmasterom zrozumieć, które szablony stron należy naprawić.
Nieodpowiednia kolekcja haseł wywoła ostrzeżenia w Chrome 56 dla http://www.xyz.com
Do: właściciel http://www.xyz.com
Począwszy od stycznia 2017 r. Chrome (wersja 56 i nowsze) oznaczy strony, które zbierają hasła lub dane karty kredytowej jako „Nie zabezpieczone”, chyba że strony są obsługiwane przez HTTPS.
W wiadomości Google zamieści linki do przykładowych stron, które zostaną naruszone, ale lista ta nie powinna być uważana za wyczerpującą. Powinieneś pracować w swojej witrynie, aby zidentyfikować i naprawić wszystkie strony, których dotyczy problem.
Te powiadomienia Search Console nie są wysyłane jednocześnie, ale zamiast tego wydają się być traktowane priorytetowo ze względu na rozmiar witryny, więc niektóre witryny, które zostaną dotknięte, nadal nie otrzymały powiadomienia. Tylko dlatego, że nie otrzymałeś wiadomości w Search Console, nie oznacza to, że nie będziesz mieć na nią wpływu. Jeśli nie masz pewności, czy Twoja witryna będzie zagrożona, i chcesz sprawdzić, czy aktualizacje przeglądarki będą aktywne, zawsze możesz pobierz Chrome 56 Beta aby zobaczyć, jak potraktuje twoją witrynę (witryny), gdy wersja 56 zostanie uruchomiona. Firefox oferuje także pobierz wersję beta Firefoksa 51 , więc możesz również użyć tego do przetestowania, jak nowa przeglądarka będzie traktować, aby zobaczyć, jak Firefox 51 będzie traktował twoje strony logowania.
Co to za poprawka?
Istnieje wiele drobnych obejść i poprawek, aby uniknąć lub zminimalizować wpływ tych nowych komunikatów bezpieczeństwa na Twoją witrynę. Wiele dużych, korporacyjnych witryn wciąż boryka się z kosztami i technologicznymi skutkami przejścia HTTPS i jego wpływem na umowy CDN. Inne witryny po prostu zmagają się z błędami dotyczącymi treści mieszanych i innymi podobnymi ograniczeniami protokołu. Dobrą wiadomością jest to, że oprócz idealnego rozwiązania, które preferowałyby przeglądarki, istnieją pewne realne alternatywy, które poprawią sytuację do momentu osiągnięcia pełnej zgodności z HTTPS.
Opcja 1 - Idealna poprawka
Nacisk przeglądarek i wyszukiwarek na bezpieczeństwo będzie kontynuowany w dającej się przewidzieć przyszłości, więc najlepszą drogą do przodu i na dłuższą metę jest oczywiście konwersja całej witryny na HTTPS. Google Search Console mówi w swojej wiadomości:
Używaj stron HTTPS do zbierania poufnych informacji Aby zapobiec pojawianiu się powiadomienia „Nie zabezpieczyć”, gdy użytkownicy Chrome odwiedzają Twoją witrynę, przenieś kolekcję pól wprowadzania hasła i kart kredytowych na strony obsługiwane za pomocą protokołu HTTPS . Przeczytaj artykuł WebFundamentals .
Na szczęście przejście na HTTPS staje się łatwiejsze, zwłaszcza z następującymi zasobami:
Opcja 2 - Poprawka krótkoterminowa
Jeśli Twoja witryna nadal przechodzi na HTTPS, wskazane może być wykonanie drobnych aktualizacji, aby zminimalizować wpływ tych nowych ostrzeżeń dotyczących bezpieczeństwa. Aby uniknąć problemów z całością witryny, które są związane z możliwością logowania w całej witrynie w szablonach stron, przenieś monity logowania na jedną dedykowaną stronę docelową logowania i po prostu połącz się z nią ze starej lokalizacji logowania, w poprzednim szablony. Specjalna strona logowania nadal będzie otrzymywać alert, jeśli nie jest na HTTPS, ale przynajmniej alert będzie ograniczony do tej strony (przynajmniej na razie). Ponadto często łatwiej jest przenieść subdomenę do HTTPS, ale pozostaw domenę podstawową na HTTP, więc jeśli masz bezpieczną subdomenę w domenie lub możesz ją utworzyć, strona logowania może być tam hostowana. Jeśli usunięcie funkcji logowania ze wszystkich szablonów stron jest niemożliwe, warto usunąć przynajmniej funkcje logowania z najlepszych szablonów stron konwersji, a jeśli są różne, najlepsze organiczne szablony stron docelowych.
Coś, co możesz zrobić, to starać się, aby użytkownicy zalogowali się do witryny przez dłuższy czas, ustawiając pliki cookie. Ponieważ większość szablonów stron przestaje żądać, aby użytkownicy logowali się po zalogowaniu, przynajmniej zminimalizuje to wpływ na najbardziej oddanych użytkowników, którzy mają już poświadczenia, i najprawdopodobniej aktywnie zaangażują się w witrynę. Podobnie, jeśli masz wyskakujące okienko modalne, możesz zastąpić pola logowania przyciskami społecznościowymi, aby zalogować się przy użyciu poświadczeń Facebook, Google lub LinkedIn. Te przyciski nie wyzwalają żadnego ostrzeżenia. Następnie możesz dołączyć hiperłącze do dedykowanej strony logowania do logowania poniżej przycisków logowania społecznego, tak jak zrobił to Kayak w przykładzie po prawej stronie.
UWAGA: Kajak w rzeczywistości nie zawiera odnośnika do dedykowanej strony docelowej, ale po prostu wyświetla nowe informacje w pliku pełnoekranowym, które prawdopodobnie mogłyby wywołać ostrzeżenie, ale tak właśnie wyglądałaby zalecana implementacja, o ile hiperłącze logowania zostało otwarte nowa strona.
Wniosek
Internet się zmienia, a webmasterzy muszą robić, co mogą, aby utrzymać tę technologię. Przeglądarki i wyszukiwarki również robią wiele, aby zachęcić do przyjęcia protokołu HTTPS w celu ochrony użytkowników i uniemożliwienia ich technologii naruszania prywatności i kradzieży tożsamości. Historycznie, ostrzeżenia i powiadomienia przeglądarki skupiały się na ochronie osobistych informacji finansowych, ale teraz Chrome i Firefox rozszerzają się o ostrzeżenia, aby informować użytkowników o ryzyku dla ich podstawowych danych logowania. Chociaż te aktualizacje przeglądarki nie będą miały bezpośredniego wpływu na rankingi wyszukiwarek, mogą mieć ogromny wpływ na współczynnik odrzuceń witryny, współczynnik zaangażowania i współczynnik konwersji, które w dłuższej perspektywie mogą mieć drugorzędny lub pośredni wpływ na rankingi. Sieć nie była przeznaczona do stagnacji, a webmasterzy tak SEO powinni wszyscy przygotowywać się do aktualizacji przeglądarki, ale także popierać najlepszą dostępną technologię; w tym przypadku zaczyna się od HTTPS.
Połączone zasoby
MobileMoxie bardzo dba o bezpieczeństwo i mobilność. Sięgnij i porozmawiaj z Ashley albo Zespół MobileMoxie w każdej chwili!
Co to za poprawka?
