Firefox razvija rigoroznu HTTPS zaštitu

Razvojni inženjeri Firefoxa testiraju novu zaštitnu funkciju koja treba omogućiti povezivanje sa određenim web stranicama samo onda kada je kriptografskim certifikatom moguće potvrditi da je konekcija sigurna.

Beta verzija preglednika sadrži listu web stranica koje primjenjuju HTTP Strict Transport Security mehanizam. Radi se o mehanizmu koji zahtijeva od preglednika korištenje sigurnih SSL protokola tijekom komunikacije. HSTS omogućuje dodatni sloj zaštite tako što zahtijeva enkriptirani kanal i autentikaciju servera jakom kriptografijom.

Zamišljeno je da nova funkcija Firefoxa riješi ovaj problem koristeći listu preglednika koji koriste HSTS, te da spriječi povezivanje preglednika u slučaju kada određeni server nema valjani certifikat. Kako bi brže popunili svoju listu, Firefox iskorištava već kreiranu listu koju koristi Chrome (https://src.chromium.org/viewvc/chrome/trunk/src/net/base/transport_security_state_static.json) te  svakom hostu šalje „force https“ zahtijev. Samo onaj koji odgovori sa valjanim HSTS zaglavljem i odgovarajuće velikom "max age" vrijednošću biva uvršten u listu.

Kada korisnik prvi put posjećuje neku od tih web stranica, preglednik će znati da mora koristi sigurnu vezu tako da u slučaju kada napadač pokuša spriječiti sigurno povezivanje sa serverom, preglednik se neće povezati preko nesigurnog protokola, štiteći tako sigurnost korisnika.

Google Chrome već nudi sličan oblik zaštite o kojem se više može pročitati ovdje.

Na portalu je već bilo govora o sigurnosti web preglednika. Iz članka se vidi da Firefox ne stoji dobro po tom pitanju, pa je svako poboljšanje zaštite korisnika dobrodošlo.