Эксперты по безопасности приветствуют шифрование в Firefox

08.04.2015 | 00:57 Экономика

Эксперты по безопасности приветствуют шаг Mozilla по добавлению «оппортунистического шифрования» в браузер Firefox, которое обеспечит шифрование данных без аутентификации по протоколу TLS.

По словам Патрика Мак-Мануса, разработчика из Mozilla, это шифрование помогает защититься от пассивного прослушивания, а также обеспечивает некоторую защиту целостности данных.

Этот вид шифрования не защищает от активных атак посредника (man-in-the-middle), поэтому он рекомендовал использовать полное шифрование с помощью HTTPS для всех, кто в состоянии им воспользоваться.

«Однако если у вас длинный хвост наследованного контента, который еще не мигрировал на HTTPS, обычно из-за правил смешанного контента и взаимодействия с третьими сторонами, оппортунистическое шифрование — это четкое улучшение по сравнению с альтернативой открытого текста», написал он в блоге, описывая новую функцию.

Он добавил, что есть несколько случаев, в которых браузер может вернуться к обычному, незашифрованному трафику, например, если клиенты не используют правильные протоколы, или, если порт оппортунистического шифрования недоступен.

Какая-то защита лучше, чем никакой, согласился Ричард Блич, генеральный директор компании Secure Channels.

«Firefox предпринял несколько шагов в правильном направлении» — сказал он. «Для людей, вынужденных использовать HTTP, это является существенным».

Новый стандарт удаляет почти все барьеры на пути шифрования веб-трафика, сказал Теренс Спис, технический директор HP Security Voltage.

«Это не помешает атакующим, которые могут активно изменять трафик, но сохраняет ваши личные данные от злоумышленников, которые пассивно записывают содержимое сетевых подключений», сказал он. «Если администраторы сайта могут включить шифрование с помощью простого переключения конфигурации, это движет нас к интернету, где все данные хранятся в зашифрованном виде по умолчанию. Это не решает всех проблем, но повышает уровень безопасности по умолчанию».

Тем не менее, шифрование не включается автоматически, предупредил Tod Бердсли, технический менеджер Rapid7 LLC.

«Веб-сервер должен быть настроен для поддержки спецификации альтернативных сервисов, что требует действий каждого отдельного оператора веб-сайта», сказал он.

По сути, веб-сервер говорит браузеру, что шифрованная версия веб-сайта доступна где-то в другом месте.

«Идея состоит в том, что контент-провайдеры могут сделать контент доступным в зашифрованном виде, и дать браузеру знать, где его найти.  Пользователи не должны делать ничего особенного, чтобы насладиться минимальным уровнем шифрования», сказал он.

Тем не менее, это гораздо проще, чем развертывание полномасштабного TLS с реальным цифровым сертификатом.

Бердсли отметил, что существует плагин для браузера HTTPS Everywhere, который делает что-то подобное, и он поддерживается группой сторонников конфиденциальности Electronic Frontier Foundation в течение последних четырех лет.

«Это направление имеет определенный успех среди людей, которые заинтересованы в приватности», сказал он. «В идеале, если оппортунистическое шифрование будет широко поддерживаться, это переложит бремя реализации с конечных пользователей».

Инженерный совет Интернета (Internet Engineering Task Force) впервые предложил оппортунистическое шифрование в качестве части спецификации HTTP 2.0 в конце 2013 года.