Google 开始针对 HTTP 网站纳入黑名单扫荡动作
2017 年初 Google Chrome 新版浏览器,会针对未采用 SSL 加密网站以惊叹号来警告标示,然而近期国外资安业者 Sucuri 发现到,谷歌已开始将要填入帐密等资料购物/社群等平台,仍旧采用 HTTP 连线架构模式,其安全性低也将列为黑名单列表中??
网络龙头 Google 设定安全浏览机制 (Safe Browsing),每天会检查多达十亿个以上网址,并且将有安全危害网站列入黑名单,然而这黑名单除了做为搜寻过滤,以及套用于 Chrome 浏览器,也有被 Firefox 火狐、Sarari 与 Opera 等其他浏览器采用,当使用者造访有安全疑虑网站,便会弹跳出警告讯息。
国外资安业者 Sucuri 发现到,目前有某些被 Google 列为黑名单网站,只因为仍旧使用 HTTP 连线模式,未将其升级为 HTTPS 加密通讯协定;然而 Sucuri 团队之所以会发现到此情况,主要是因为他们处理好客户网站,每天会将多达数百个黑名单提交 Google 重新审查,要求 Google 将这些网站从黑名单中给移除,但近月发现有越来越多网站是干净且未加载外部资源不明显违规原因。
其中个例子便是网站内容干净,多次提出审查的网站,找不到原因下被驳回了两次,没想到 Sucuri 仅是导入 SSL 安全加密连线,Google 就接受并移除黑名单列表,进一步调查才发现这些网站都会要求在字段填入帐号 / 密码等资讯,经过推测可能是 Google 希望填入有机密资讯网页都该采用 HTTPS 协定。
这也回溯至今年初一月 Google 针对新推出 Chrome 56 版本,便把要填入机密资讯却使用 HTTP 协定网页标示为“不安全”(Not secure),并且宣布从 10 月起 Chrome 62 版本会将所有要填资料 HTTP 网页标示为“不安全”,主要也是希望用户有更安全浏览体验,因此而采用更严厉的政策。