O Google Chrome agora atualiza automaticamente para conexões seguras para todos os usuários
31 de Outubro de 2023

O Google deu um passo significativo para melhorar a segurança na internet do Chrome atualizando automaticamente as solicitações HTTP inseguras para solicitações HTTPS para 100% dos usuários.

Este recurso é chamado de "Atualizações HTTPS" e irá garantir a segurança de links antigos que utilizam o http:// ao tentar conectar automaticamente à URL através do protocolo criptografado https://.

Um lançamento limitado deste recurso no Google Chrome começou em julho, mas a partir de 16 de outubro, o Google implantou para todos os usuários no canal Stable.

"Ativamos as Atualizações HTTPS por padrão na trunk na semana passada e atualmente estamos lançando para 100% Stable", afirma uma atualização do líder de Programa de Engenharia do Google, Chris Thompson.

Atualizações HTTPS é um recurso do Google Chrome que atualiza automaticamente todas as navegações de main-frame para HTTPS, a versão segura do Protocolo de Transferência de Hipertexto, garantindo uma mudança rápida para HTTP se necessário.

Historicamente, os navegadores frequentemente faziam solicitações HTTP inseguras para sites que eram compatíveis com HTTPS.

Isso pode acontecer porque os usuários clicam em links antigos ou porque o conteúdo nos sites não foi atualizado para usar o novo protocolo.

As conexões pelo protocolo HTTP não são criptografadas e podem ser espionadas para roubar credenciais ou outros dados sensíveis.

O Google diz que isso também pode acontecer carregando recursos HTTP de:

Um usuário navegando para um site usando HSTS (HTTP Strict Transport Security) pela primeira vez,
Acessar um site que usa HTTPS por padrão, mas não usa HSTS, ou
Visitar um site que suporta tanto HTTPS como HTTP sem redirecionamento automático para HTTPS.

Em cada caso, a privacidade e a segurança dos usuários são comprometidas através de conexões inseguras desnecessárias.

Este problema persistiu em várias configurações, potencialmente afetando muitas solicitações.

Os métodos existentes para impor o HTTPS, como a lista de pré-carregamento do HSTS ou listas de atualização manuais, têm limitações.

Eles envolvem configurações complexas e arriscadas ou atendem a uma gama limitada de sites.

Além disso, manter uma lista atualizada de sites que suportam HTTPS pode ser desafiador e intensivo em termos de largura de banda, levando muitas vezes a informações desatualizadas chegando aos usuários.

Com esta atualização, o Chrome espera atualizar automaticamente os links HTTP na página para HTTPS, implementando um mecanismo de fallback rápido para o HTTP, se necessário.

O navegador também poderá respeitar um cabeçalho de opt-out, permitindo que servidores web que fornecem conteúdos diferentes em HTTP e HTTPS evitem atualizações automáticas.

Este comportamento exigirá modificações na especificação Fetch, particularmente em relação à atualização de solicitações de navegação de main-frame e ao tratamento de erros de rede em solicitações atualizadas.

A atualização impacta vários aspectos da navegação:

Está restrito às navegações de main-frame, com atualizações de subrecursos regidas pelas políticas de conteúdo misto existentes.

Navegações iniciadas através da barra de URL ou JavaScript são elegíveis para atualizações.

A atualização afeta apenas solicitações idempotentes como GET, alinhando com as políticas atuais de conteúdo misto para formulários em páginas atualizadas.

Redirecionamentos para HTTP de navegações HTTPS iniciais também são atualizados.

Embora essa atualização automática não evite rebaixamentos, ela não oferece menos segurança do que a norma atual.

Limita a exposição a atacantes passivos, embora atacantes ativos possam dificultar o processo de atualização.

Importante, essa mudança pode reduzir a motivação dos desenvolvedores para corrigir referências HTTP.

No entanto, dada a tendência atual de marcar páginas HTTP como "Não seguro", essa atualização é uma medida proativa para proteger os usuários, especialmente em sites pouco propensos a serem atualizados para HTTPS.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...