Chrome и Firefox обновили предупреждения безопасности для страниц HTTP

  1. Как Chrome & Firefox изменит обработку HTTP-страниц, которые собирают пароли
  2. Что ожидать
  3. *Источник: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
  4. *Источник: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html
  5. *Источник: https://twitter.com/rlbarnes/status/814579588072349697
  6. *Источник: https://twitter.com/ryanfeeley/status/801539237682302987 & http://techdows.com/2016/09/firefox-51-insecure-password-warning.html
  7. Страницы, которые находятся в опасности
  8. Что за исправление?
  9. Вариант 1 - Идеальное решение
  10. Вариант 2 - Краткосрочное исправление
  11. Заключение
  12. Связанные ресурсы

От: Эшли Берман Хейл

Как Chrome & Firefox изменит обработку HTTP-страниц, которые собирают пароли

В январе этого года (2017) Chrome & Firefox начнет отображать «небезопасные» символы в адресной строке страниц HTTP, которые запрашивают вход пользователя. Chrome также добавит обозначения на страницах, которые собирают информацию о кредитной карте; предупреждение, которое уже имеется в самой последней версии Firefox. Хотя эти изменения не окажут прямого влияния на рейтинг в поисковых системах (мобильных или других), они могут оказать значительное косвенное влияние на вторичные сигналы SEO, такие как вовлеченность сайта, показатель отказов и время на сайте. Они могут даже повредить просмотрам страниц за посещение и конверсиям сайта, если влияние на сайт будет широко распространено.

Исторически уведомления о безопасности были сосредоточены только на страницах, которые собирают информацию о кредитных картах, поэтому повышенное внимание к страницам, которые собирают информацию для входа в систему, является относительно новым основанием. Только о 25% пользователей сети перешли на HTTPS так что это может повлиять на многие страницы HTTP; особенно если у них есть функциональные возможности входа в систему в шаблонах страниц. Google был Настоятельно рекомендуем сайты перейти на HTTPS в течение более года, и даже создал небольшое повышение алгоритмического рейтинга для сайтов, которые делают, чтобы стимулировать изменения. Этот раунд обновлений браузера позволяет лучше понять необходимость обновления веб-сайтов, чтобы они могли продолжать укреплять доверие и безопасно взаимодействовать со своими пользователями.

Что ожидать

Обновления HTTPS для Chrome 56

Текущий настольный браузер Chrome - Chrome 55, поэтому версия, которая будет запущена в конце этого месяца, - Chrome 56. Для Chrome установлено значение автоматическое обновление по умолчанию и он активно проверяет наличие обновлений от Google каждые 5 часов, поэтому вы можете ожидать, что большинство посетителей будут использовать Chrome 56 вскоре после его запуска. Chrome 56 добавит серое сообщение «Не защищено» в адресную строку перед URL-адресом на всех HTTP-страницах, которые включают функции входа в систему, как показано ниже: (Google публикует все журналы обновлений Chrome если вам нужна дополнительная информация.)

*Источник: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html

Это первый шаг в многоэтапном плане Chrome, чтобы предупредить посетителей о потенциальных проблемах безопасности и побудить веб-мастеров перейти на HTTPS. Следующие этапы для этого проекта включают в себя следующие этапы: (или проверить полный анонс от Google , Если вы предпочитаете.)

  1. Изначально Chrome добавит серое сообщение «Незащищенный» на страницы HTTP, собирая информацию о кредитной карте или информацию для входа (имя пользователя и пароли), как показано выше.
  2. Затем Chrome добавит серое сообщение «Не защищено» на все страницы HTTP, к которым пользователь обращается при просмотре в режиме инкогнито.
  3. В конце концов, на всех HTTP-страницах будет отображаться серое сообщение «Not Secure».
  4. Наконец, предупреждение будет отображаться более агрессивным красным знаком и шрифтом, а не просто серым текстом, как показано ниже:

Google не дал точных сроков для этих изменений, но мы ожидаем, что они будут полностью развернуты в течение следующих 1-2 лет. Эти изменения могут быть развернуты в будущих версиях или Chrome, но более вероятно, что некоторые или все они будут внедрены в виде дополнительных изменений в номере версии. Пример: версия 56.3 или 57.3.2. Степень изменений, связанных с обновлением (полное обновление версии или инкрементное обновление), может повлиять на уровень информации и расширенное предупреждение, которое Chrome делает доступным до начала каждого этапа плана.

*Источник: https://blog.chromium.org/2016/09/moving-towards-more-secure-web.html

Обновления Firefox 51 HTTPS

Текущая версия браузера Firefox для настольных компьютеров - версия 50, поэтому обновление, которое произойдет в этом месяце, относится к Firefox 51. Firefox выбирает более резкий путь для обновления своих предупреждений безопасности HTTP. Вместо того, чтобы развертывать обновления с течением времени, их обновление будет содержать символ «Незащищенный» (серый замок с красной чертой) и кнопку «Информация» в адресной строке с самого начала. Они будут использовать эту процедуру только для страниц, которые содержат информацию для входа. Обновление Firefox не включает в себя страницы, которые собирают информацию только о кредитных картах, если только они не имеют функциональности входа в систему.

В Firefox пользователи могут развернуть значок «Незащищенный», чтобы показать более подробную информацию о том, почему Firefox отображает предупреждение для конкретной страницы, и они также могут щелкнуть значок «Информация», чтобы получить более общую информацию о HTTPS. Как и Chrome, Firefox также установить автоматическое обновление по умолчанию, поэтому вы можете ожидать, что большинство пользователей получат новейшую версию браузера очень скоро после его запуска.

Как и Chrome, Firefox также   установить автоматическое обновление   по умолчанию, поэтому вы можете ожидать, что большинство пользователей получат новейшую версию браузера очень скоро после его запуска

*Источник: https://twitter.com/rlbarnes/status/814579588072349697

Firefox также добавит оповещение для полей входа в систему, где они обслуживают сохраненные учетные данные. Подобно оповещению в адресной строке, эти встроенные оповещения в форме могут быть расширены для получения дополнительной информации.

*Источник: https://twitter.com/ryanfeeley/status/801539237682302987 & http://techdows.com/2016/09/firefox-51-insecure-password-warning.html

** ОБНОВЛЕНО 25 января 2017 года ** Вышел Firefox подробности об их изменениях в блоге 24 января 2017 г. Полные заметки о выпуске v51 также являются публичными.

Страницы, которые находятся в опасности

Ниже приведены четыре типа страниц HTTP, которые будут затронуты этими обновлениями браузера:

  • HTTP-страницы, которые собирают информацию об оплате (предупреждение только для Chrome).
  • Страницы HTTP с выпадающим или встроенной информацией для входа.
  • HTTP-страницы с JavaScript-моделями для входа или чего-то подобного.
  • Выделенные страницы входа, которые не находятся на HTTPS.

Google начал распространять уведомления об этом обновлении браузера в Google Search Console , поэтому обязательно войдите в консоль поиска Google и проверьте все протоколы вашего сайта, включая: http: //, http: // www, https: // и https: // www. Поисковая консоль считает каждый из них как отдельные наборы данных, и возможно, но маловероятно, что вы могли бы получить сообщение, даже версию HTTPS.

Пример предупреждения консоли поиска приведен ниже. Они обычно отправляются с примерами URL, которые могут повлиять, чтобы помочь веб-мастерам понять, какие шаблоны страниц необходимо исправить.

Небезопасный сбор паролей вызовет предупреждения в Chrome 56 для http://www.xyz.com

Кому: владельцу http://www.xyz.com

Начиная с января 2017 года, Chrome (версия 56 и более поздние) будет помечать страницы, которые собирают пароли или данные кредитной карты, как «Незащищенные», если только страницы не обслуживаются по HTTPS.

В сообщение Google будут включены ссылки на образцы страниц, которые будут затронуты, но этот список не следует считать исчерпывающим. Вы должны работать на своем сайте, чтобы идентифицировать и исправить все затронутые страницы.

Эти уведомления Консоли поиска не отправляются одновременно, а вместо этого, по-видимому, имеют приоритет по размеру веб-сайта, поэтому некоторые сайты, на которые это повлияет, могут все еще не получить предупреждение. Если вы не получили сообщение в консоли поиска, это не значит, что на вас это не повлияет. Если вы не уверены, что ваш сайт будет затронут, и хотите проверить, прежде чем обновления браузера будут запущены, вы всегда можете скачать Chrome 56 Beta чтобы увидеть, как он будет относиться к вашему сайту (-ам) после выхода версии 56. Firefox также предлагает бета-версия для Firefox 51 , так что вы также можете использовать это, чтобы проверить, как новый браузер будет работать, чтобы увидеть, как Firefox 51 будет обрабатывать ваши страницы входа.

Что за исправление?

Существует множество мелких обходных путей и исправлений, чтобы избежать или минимизировать влияние этих новых сообщений безопасности на ваш сайт. Многие крупные корпоративные сайты по-прежнему борются с затратами и технологическими последствиями перехода HTTPS и его влиянием на контракты CDN. Другие сайты просто борются с ошибками смешанного контента и другими подобными ограничениями в протоколе. Хорошей новостью является то, что в дополнение к идеальному решению, которое предпочтут браузеры, есть несколько жизнеспособных альтернатив, которые улучшат ситуацию, пока не будет достигнуто полное соответствие HTTPS.

Вариант 1 - Идеальное решение

Усилия браузеров и поисковых систем по обеспечению безопасности будут продолжаться в обозримом будущем, поэтому лучший путь вперед на данный момент и в долгосрочной перспективе, очевидно, - конвертировать весь ваш сайт в HTTPS. Консоль поиска Google специально говорит в своем сообщении:

Использование страниц HTTPS для сбора конфиденциальной информации Чтобы предотвратить появление уведомления «Незащищенный», когда пользователи Chrome посещают ваш сайт, перенесите набор полей ввода пароля и кредитной карты на страницы, обслуживаемые по протоколу HTTPS . Прочитайте статью WebFundamentals ,

К счастью, переход на HTTPS становится проще, особенно со следующими ресурсами:

Вариант 2 - Краткосрочное исправление

Если ваш сайт все еще находится в процессе перехода на HTTPS, может быть целесообразно внести некоторые незначительные обновления, чтобы вы могли минимизировать влияние этих новых предупреждений безопасности. Чтобы избежать каких-либо проблем для всего сайта, связанных с возможностью входа в систему на всех сайтах в шаблонах страниц, переместите приглашения для входа в систему на отдельную целевую страницу входа в систему и просто сделайте ссылку на нее со старого местоположения входа в систему, в предыдущем разделе. шаблоны. Специальная страница входа в систему по-прежнему будет получать предупреждение, если оно не находится на HTTPS, но, по крайней мере, предупреждение будет ограничено этой страницей (по крайней мере, на данный момент). Кроме того, часто проще перевести субдомен в HTTPS, но оставить основной домен по HTTP, поэтому, если у вас есть безопасный субдомен в домене или вы можете его создать, страница входа может быть размещена там. Если невозможно удалить функцию входа в систему из всех шаблонов страниц, возможно, было бы полезно по крайней мере удалить функцию входа в систему из верхних шаблонов страниц конверсии и, если они отличаются, верхние органические шаблоны целевых страниц.

Что еще вы можете сделать, это попытаться сохранить ваши пользователи вошли на сайт в течение более длительного периода времени по умолчанию, установив файлы cookie Что еще вы можете сделать, это попытаться сохранить ваши пользователи вошли на сайт в течение более длительного периода времени по умолчанию, установив файлы cookie. Поскольку большинство шаблонов страниц перестают запрашивать вход в систему после входа в систему, это, по крайней мере, минимизирует влияние на ваших самых преданных пользователей, у которых уже есть учетные данные, и которые, скорее всего, будут активно взаимодействовать с сайтом. Точно так же, если у вас есть модальное всплывающее окно входа, вы можете заменить поля входа социальными кнопками, чтобы войти с учетными данными Facebook, Google или LinkedIn. Эти кнопки не будут вызывать никаких предупреждений. Затем вы можете включить гиперссылку на выделенную страницу входа в систему под кнопками входа в систему, как это сделал Kayak, в примере справа.

ПРИМЕЧАНИЕ: Kayak на самом деле не ссылается на выделенную целевую страницу здесь, а просто выводит новую информацию в междоузлие, которая, возможно, все еще может вызвать предупреждение, но именно так должна выглядеть рекомендуемая реализация, пока открыта гиперссылка для входа. новая страница.

Заключение

Сеть меняется, и веб-мастера должны делать все возможное, чтобы соответствовать этой технологии. Браузеры и поисковые системы также делают все возможное, чтобы поощрить принятие протокола HTTPS для защиты пользователей и предотвращения их нарушения конфиденциальности и кражи личных данных. Исторически предупреждения и уведомления браузера были направлены на защиту личной финансовой информации, но теперь Chrome и Firefox расширяются и теперь включают предупреждения, информирующие пользователей о риске для своих основных учетных данных. Хотя эти обновления браузера не окажут прямого влияния на рейтинг в поисковых системах, они могут оказать существенное влияние на показатель отказов вашего сайта, уровень вовлеченности и коэффициент конверсии, что в долгосрочной перспективе может привести к вторичному или косвенному влиянию на рейтинги. Сеть не должна быть застойной и веб-мастерами, поэтому все SEO должны готовиться к этим обновлениям браузера, а также пропагандировать лучшую доступную технологию; в этом случае он начинается с HTTPS.

Связанные ресурсы

MobileMoxie очень заботится о безопасности и мобильных устройствах. Выйти и пообщаться с Ashley или Команда MobileMoxie в любой момент!

Что за исправление?