Обновление Firefox будет настаивать на безопасности для определенных доменов

Mozilla представила предварительно загруженный список доменов для Firefox, которые можно безопасно подключать, чтобы защитить конфиденциальность и безопасность пользователей.

Чтобы заставить безопасные соединения между браузером и сервером, Mozilla использует HSTS (HTTP Strict Transport Security), механизм, используемый серверами для указания того, что соединительный браузер должен использовать безопасное соединение, написал Дэвид Килер Mozilla в блоге.

Когда браузер впервые подключается к серверу HSTS, однако браузер не знает, следует ли использовать безопасное соединение, потому что он никогда не получал заголовок HSTS с этого хоста. «Следовательно, активный сетевой атакующий может предотвратить безопасное соединение браузера (и, что еще хуже, пользователь никогда не может понять, что что-то не так)», - писал Килер, добавляя, что настройка соединения по-прежнему делает его уязвимым для атак.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

В качестве обходного пути для этой проблемы Mozilla добавила список в Firefox с доменами, которые браузер должен подключать по умолчанию по умолчанию.

«Когда пользователь впервые подключается к одному из этих хостов, браузер будет знать, что он должен использовать безопасное соединение. Если сетевой злоумышленник предотвращает безопасные подключения к серверу, браузер не будет пытаться подключаться по небезопасному протоколу, тем самым поддерживая безопасность пользователя », - сказал Килер.

Список был посеян доменами из предварительно загруженного списка HSTS Chrome, который имеет аналогичную функцию для Mozilla. Google Chrome устанавливает безопасное соединение для всех поддоменов google.com, а также добавляет принудительные HTTPS-соединения для сайтов, которые его запросили. Защищенные соединения принудительно применяются для таких сайтов, как paypal.com, twitter.com, lastpass.com и torproject.org.

«HSTS в сочетании с предварительно загруженным списком сайтов может стать отличным инструментом для повышения безопасности пользователей», Килер написал. Эта функция в настоящее время присутствует только в бета-версии Firefox.

Loek - корреспондент Амстердама и рассматривает вопросы конфиденциальности в Интернете, интеллектуальной собственности, с открытым исходным кодом и онлайн-платежей для службы новостей IDG. Следуйте за ним в Twitter на @loekessers или напишите советы и комментарии на [email protected]