Google 開始針對 HTTP 網站納入黑名單掃蕩動作
2017 年初 Google Chrome 新版瀏覽器,會針對未採用 SSL 加密網站以驚嘆號來警告標示,然而近期國外資安業者 Sucuri 發現到,谷歌已開始將要填入帳密等資料購物/社群等平台,仍舊採用 HTTP 連線架構模式,其安全性低也將列為黑名單列表中??
網路龍頭 Google 設定安全瀏覽機制 (Safe Browsing),每天會檢查多達十億個以上網址,並且將有安全危害網站列入黑名單,然而這黑名單除了做為搜尋過濾,以及套用於 Chrome 瀏覽器,也有被 Firefox 火狐、Sarari 與 Opera 等其他瀏覽器採用,當使用者造訪有安全疑慮網站,便會彈跳出警告訊息。
國外資安業者 Sucuri 發現到,目前有某些被 Google 列為黑名單網站,只因為仍舊使用 HTTP 連線模式,未將其升級為 HTTPS 加密通訊協定;然而 Sucuri 團隊之所以會發現到此情況,主要是因為他們處理好客戶網站,每天會將多達數百個黑名單提交 Google 重新審查,要求 Google 將這些網站從黑名單中給移除,但近月發現有越來越多網站是乾淨且未載入外部資源不明顯違規原因。
其中個例子便是網站內容乾淨,多次提出審查的網站,找不到原因下被駁回了兩次,沒想到 Sucuri 僅是導入 SSL 安全加密連線,Google 就接受並移除黑名單列表,進一步調查才發現這些網站都會要求在欄位填入帳號 / 密碼等資訊,經過推測可能是 Google 希望填入有機密資訊網頁都該採用 HTTPS 協定。
這也回溯至今年初一月 Google 針對新推出 Chrome 56 版本,便把要填入機密資訊卻使用 HTTP 協定網頁標示為「不安全」(Not secure),並且宣布從 10 月起 Chrome 62 版本會將所有要填資料 HTTP 網頁標示為「不安全」,主要也是希望用戶有更安全瀏覽體驗,因此而採用更嚴厲的政策。