HTTPS не означает, что сайт безопасный

Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!

Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.

Безопасное соединение не значит безопасный сайт

Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».

Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.

Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.

Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.

Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.

А что, если замочек не зеленый?

В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.

Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.

Что нужно помнить, чтобы не попасться на удочку

Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.

Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.

• Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам.
• Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно.
• Не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.

www.kaspersky.ru

почему HTTPS сохранит данные ваших клиентов и читателей — Новости рекламных технологий Яндекса

Безопасный переезд: почему HTTPS сохранит данные ваших клиентов и читателей

21 февраля 2019

Работа по безопасному протоколу HTTPS — один из важных признаков качественного сайта. Мы заботимся о безопасности данных пользователей и скоро начнём активнее предупреждать их об использовании небезопасного протокола HTTP — в поиске, Браузере и других сервисах Яндекса. А для владельцев сайтов, которые ещё не перешли на безопасный протокол, мы доработали наши алгоритмы, обновили саму процедуру переезда и собрали ответы на самые важные вопросы — чтобы переезд на HTTPS как можно меньше отразился на ваших бизнес-процессах. 

Для Яндекса безопасность и удобство сервисов для пользователей — важнее всего, поэтому все наши сервисы работают только по защищённому протоколу HTTPS. Мы знаем, что наша позиция близка многим владельцам интернет-ресурсов, которые действительно заботятся о своей аудитории: по данным Яндекс.Радара, среди 10 000 наиболее популярных у россиян интернет-проектов более 66% уже используют протокол HTTPS. На сайты с защищённым протоколом приходится более 80% нашего поискового трафика.

В чём его главные преимущества? По сравнению с обычным HTTP он кардинально снижает риски перехвата чувствительных данных (например, логина, пароля или номера банковской карты), подмены контента сайта или добавления сторонней рекламы и утечки цифровых идентификаторов пользователей — файлов cookie, по которым можно таргетировать рекламу.

Работа по небезопасному протоколу даёт злоумышленникам возможность манипулировать пользовательским трафиком. Скажем, мошенник может подменить контент вашего сайта или испортить внешний вид: заменить рекламу на другую или вставить дополнительные блоки, дохода от которой вы не получите. А восприятие сайта пользователями при этом может ухудшиться. К сожалению, такие случаи встречаются достаточно часто, поэтому мы рекомендуем даже владельцам контентных сайтов использовать HTTPS. Опасна и утечка цифровых идентификаторов пользователей — файлов cookie. Они позволяют получить доступ к аудитории сайта в рекламных целях.

Несмотря на очевидные преимущества безопасного протокола, часть владельцев интернет-ресурсов пока рискуют оставаться на HTTP — поскольку опасаются проседания трафика при переезде.Мы тщательно исследовали возможные потери трафика, нашли их причины, внесли корректировки в наши алгоритмы и доработали переезд через 301-й редирект. Затем снова всё перепроверили и написали подробные рекомендации. А ещё подготовили ответы на самые распространённые и важные вопросы.
 

Не потеряю ли я трафик при переезде?

Мы знаем, что многие владельцы сайтов опасаются потери трафика при переезде. Наши исследования показывают, что при соблюдении рекомендаций трафик на сайт при переезде на HTTPS не теряется. 
 

Влияет ли HTTPS на ранжирование?

Мы стараемся учитывать все имеющиеся у нас данные о качестве сайта. Безопасность — важный атрибут качества для пользователя, а один из признаков безопасного сайта — использование протокола HTTPS. Выбирая защищённый протокол, владелец сайта заботится о безопасности пользовательских данных, и это может быть учтено в ранжировании. 
 

Сохранится ли индекс качества сайта (ИКС) при переходе на HTTPS?

Да, индекс качества сайта при переезде переносится, хотя правильное значения ИКС может отобразиться не мгновенно. 
 

У меня контентный сайт без авторизации, зачем мне переезжать на HTTPS?

Даже если пользователи не вводят на вашем сайте номер банковской карты или другие чувствительные данные, которые требуют особого внимания, небезопасный протокол даёт злоумышленникам лазейку, чтобы навредить вам другим способом. К сожалению, довольно часто встречается подмена контента сайта или добавления сторонней рекламы, а также утечка цифровых идентификаторов пользователей — файлов cookie, по которым можно таргетировать рекламу.
 

Как проверить качество сертификата HTTPS с точки зрения Яндекса?

В разделе «Диагностика» в Вебмастере есть предупреждение о том, что сертификат не настроен. Если для главного зеркала вашего сайта такого предупреждения нет, волноваться на этот счёт не стоит.
 

Рекомендует ли Яндекс настраивать HSTS?

Да, рекомендуем. Это уменьшает задержку для последующих подключений, так как нет редиректа. 
 

Можно ли использовать бесплатные SSL-сертификаты для HTTPS?

Существует довольно много возможностей подключить HTTPS-протокол бесплатно. Какой сертификат использовать, платный или бесплатный, — решать вам. Обычно цена зависит от сложности шифрования и дополнительных услуг (например, от количества поддоменов сайта).

Надеемся, наши рекомендации помогут вам перейти на безопасный протокол и улучшить контакт с вашей аудиторией. Со всеми вопросами смело обращайтесь в службу поддержки Вебмастера или оставляйте комментарии к этому посту — обязательно ответим. 

yandex.ru

Что значит? «Ваше подключение не защищено»

Если вы когда-либо посещали веб-сайт и столкнулись с

сообщением о том, что «Этот сайт небезопасен» или «Ваше соединение не защищено», есть несколько простых методов диагностики проблемы, оценки вашего уровня риска и смягчение любых потенциальных угроз безопасности.

Что означает «соединение небезопасно»?

Когда ваш браузер помечает веб-сайт как ненадежный или небезопасный, значит, он обнаружил проблему с сертификатом Secure Socket Layer (SSL), удостоверяющим личность сайта. Вы можете услышать про эти сертификаты, называемые сертификатами TLS , но для целей этого мы будем ссылаться на этот механизм как сертификат SSL (или просто сертификат).

Хотя сертификаты SSL используют принципы шифрования для выполнения этой проверки подлинности, а SSL — это полноценный протокол шифрования, SSL-сертификаты не являются технически зашифрованным соединением. В самом деле, для вашего компьютера технически возможно установить зашифрованное соединение со злоумышленным сайтом, представляющим собой законный сайт.

Ваш браузер понимает только шифрование с помощью SSL-сертификатов, поэтому, если у сайта есть действительный сертификат, он шифрует свое соединение с этим сайтом. Однако, если сертификат сайта недействителен или отсутствует, он не устанавливает шифрованное соединение. В принципе, на каждом сайте, имеющем сертификат SSL, также используется шифрование SSL, поэтому они идут рука об руку.

Что вызывает ошибку «Ваше соединение небезопасно»?

Существует несколько причин, по которым сайт может регистрироваться как небезопасный. Одна из возможных — это сайт, который вы посещаете, может иметь неверно настроенный сертификат. Настройка SSL — сертификатов затруднена, особенно если администраторы сайта приобрели один из более высокопроизводительных, и не каждый всегда правильный. Даже сайты, которые имели надлежащую конфигурацию в прошлом, могут столкнуться с проблемами, возникающими при обновлении версий серверного программного обеспечения и, возможно, сбоях в синхронизации или смене персонала в компании, поддерживающей сайт.

Также возможно, что истек срок действия действующего, правильно установленного сертификата, и администраторы сайта забыли его обновить. Это довольно распространенное явление, поскольку, опять же, поддержка SSL — сертификатов — непростая задача. Сертификаты также могут стать недействительными, если администраторы изменят хостинг-провайдеров или поставщиков интернет-услуг, что приведет к появлению нового URL-адреса или IP-адреса, который не соответствует тому, который указан в предыдущем действительном сертификате. Если администраторы находятся в ситуации, когда они вынуждены менять хостинг-провайдеров, у них их уже достаточно, и обновление сертификатов может оказаться не в верхней части списка дел.

Ошибки сертификата не всегда являются ошибкой сторонних разработчиков сайта: браузеры поставляются с сертификатами и не всегда синхронизируются со всеми последними, пока не будет обновлен весь браузер. Поэтому, если ваш браузер не обновлен, может отсутствовать его копия сертификата, который сайт ожидает от вас.

Наконец, может быть просто, что сайт, на который вы пытаетесь перейти, никогда не имел сертификата и не собирался его приобретать. Более авторитетные и заслуживающие доверия сертификаты стоят денег, и все сертификаты требуют технических знаний, которые не каждый администратор имеет, особенно если они поддерживают небольшой сайт с ограниченными ресурсами. Некоторые администраторы могут отказаться от публикации сертификата.

Безопасен ли этот сайт? Как определить сайт, который не защищен

Большинство современных браузеров являются последовательными и ясными, как они идентифицируют сайты «Небезопасные».

В настольных браузерах: когда сайт отвечает одному или нескольким указанным выше причинам отказа, настольные браузеры добавляют тег «Not Secure» в левом конце панели навигации (где URL-адреса вводятся и отображаются), обычно сопровождаемые разблокированным значком замком, «i» или какой-либо другой визуальный сигнал, отступающий от зеленого заблокированного значка замка, который сопровождает безопасные сайты.

Пользователи могут обычно выбирать тег «Небезопасный» и / или значок небезопасного индикатора, чтобы отображать больше информации о сайте и почему он не соответствует стандартам безопасности настольного браузера.

В мобильных браузерах: благодаря своему компактному дизайну и сосредоточенному на экономии экрана, мобильные браузеры обычно не подталкивают URL-адрес, чтобы освободить место для текста «Незащищенный», но полагаться только на дифференциацию значков. Мобильные браузеры, как и их настольные кузены, обозначают безопасный сайт с зеленым закрытым замком и небезопасными сайтами с отдельным индикатором, чаще всего открытым не зелёным замком или информационным значком «i».

Кроме того, в соответствии с философией настольных компьютеров UX, мобильные браузеры позволяют пользователям нажимать значок, чтобы отобразить простое меню безопасности сайта и краткое описание статуса сайта.

Как разрешить ошибку «Connection is Note Secure»

Обновить браузер. Самое простое, что вы можете сделать, это убедиться, что ваш браузер обновлен до последней версии.

Используйте проверку SSL. Вы можете найти сайт, указав его URL-адрес на сайте проверки SSL. Контроллер скажет вам все о помеченном сайте, от его IP-адреса до эмитента сертификата до истечения срока действия его сертификата. Как только проверка SSL вернет результаты, сравните их с данными, которые вы получаете из меню, которое появляется, выбрав значок в левой части адреса / панели навигации вашего браузера.

Если есть расхождения между ними, у вас определенно есть проблема. Если он соответствует, но совпадение соответствует очевидной проблемной области (например, в меню сертификата и на веб-сайте проверки есть истекший сертификат), тогда обнаруженная ошибка даст вам представление о серьезности проблемы.?

Используйте HTTPS везде. Если вышеприведенная проверка показывает, что явно является незначительной ошибкой для сайта, на котором вы были до того, как обычно имеет действительный сертификат, вам действительно нужно только принять некоторые меры предосторожности, прежде чем возвращаться к просмотру в обычном режиме.

Для настольных компьютеров, работающих под управлением Firefox, Chrome или Opera, установите расширение HTTPS Everywhere, чтобы убедиться, что все ваши подключения зашифрованы. Таким образом, даже если сертификат не соответствует точно, вы все равно должны иметь зашифрованное соединение.

Игнорировать ошибку. Если вы знаете, что сайт никогда не использовал шифрование и не включает какие-либо функции, в которых передаются конфиденциальные личные данные, вы можете проигнорировать ошибку и продолжить, как обычно.

Культура веб-безопасности начала хмуриться от отказа от настройки сертификата и шифрования, но отсутствие сертификатов все еще происходит. Это особенно верно в отношении старых сайтов, разработанных до того, как SSL стал нормой. Все, что вы действительно можете сделать, если вам абсолютно необходимо посетить такой сайт, установить HTTPS Everywhere и быть осторожным в том, что вы входите в любые формы или сайты.

Избегайте веб-сайта. Если вы все это исключили, и все еще есть ошибка, это может быть серьезной проблемой, и вы должны проявлять особую осторожность. Сначала проверьте, правильно ли указан URL-адрес в адресной строке. Если у вас есть ссылка или закладка, выберите это, чтобы увидеть, есть ли у вас тот же флаг «Незащищенный». Если флаг снова появится, и сайт не тот, который вам обязательно нужно посетить, не ходите туда какое-то время, вы дадите администратору возможность, чтобы разобраться с серьезными проблемами.

kaknastroit.com

«Как сделать защищенное соединение для сайта?» – Яндекс.Знатоки

Сайты, работающие на http-протоколе, сохраняющие данные о платежных картах, пароли пользователей, помечаются как «небезопасные». Рядом с адресом сайта появляется предупреждающий восклицательный знак в красном треугольнике.

Для обеспечения необходимых мер безопасности были разработаны криптографические протоколы SSL и TLS, которые используются в https-соединениях.

Рекомендация: для переезда выбрать период, в который происходит малая активность на сайте, т.к. возможно снижение трафика в первые недели после перевода.

Пошаговая инструкция:

1. Cоздайте почтовый ящик вида admin@названиемагазина.by/ru/com

2. Проверьте, есть ли на сайте программный код, виджеты, иллюстрации, которые загружаются со сторонних сайтов.

Важно: все данные должны грузиться с вашего сайта.

Исключение — доверенные домены Google Analytics, Яндекс Метрика, Вконтакте, Facebook.

3. Сделайте все внутренние ссылки относительными

Например, абсолютная ссылка <a href=»http://www.domain.by/uslovija_dostavki/»> должна стать относительной <a href=»/uslovija_dostavki/»>, т.е. уберите протокол и домен. Нужно для корректной работы сайта на http- и https-протоколах.

4. Измените внешние ссылки на ссылки, доступные по https-протоколу

Например, <a href=»http://…»> сделать <a href=»https://…»>. Или вообще опустите протокол <a href=»//…»>.

5. Установите SSL-сертификат и проверьте корректность его установки https://www.ssllabs.com/ssltest/

6. Сгенерируйте карту сайта sitemap.xml c адресами страниц, доступными по https-протоколу.

7. Измените файл robots.txt

Он должен быть одинаков для обеих версий сайта: http и https.

8. Добавьте сайт, доступный по https-протоколу, в панель Яндекс Вебмастер

Для версии сайта, доступной по протоколу http, в разделе «Настройка индексирования» – «Переезд сайта» нужно добавить https-протокол. Если сайты на http и https были зеркалами ранее, а главным зеркалом была http-версия, то нужно внести изменения в разделе «Настройки индексирования» — «Главное зеркало». Процедура может занять около 1-3 недель.

9. Добавьте новый сайт, доступный по протоколу https, в панель Google Search Console.

10. Дождитесь «склейки» доменов в панели Яндекс Вебмастер.

11. Обновите URL-адрес сайта в системах аналитики.

12. Для версии сайта, доступной по протоколу https, добавьте адреса самых важных и трафиковых страниц вручную для быстрой переиндексации в панелях Яндекс Вебмастер («Инструменты» > «Переобход страниц») и Google Search Console («Сканирование» > «Просмотреть как Googlebot»).

13. Настройте 301 редирект с http-страниц на https-страницы сайта.

14. Добавьте мета-тег «referrer» на все страницы для отслеживания реферальных переходов на сайт.

<meta name=»referrer» content=»origin»>

15. Проверьте в Яндекс Вебмастер и Google Search Console правильность присвоения региона и добавление обновленного файла sitemap.xml.

16. Обновите адреса ссылок на внешних ресурсах: Яндекс Справочник, Яндекс Каталог, Google Business, социальные сети.

17. Обновите адреса страниц в рекламных кампаниях: контекстная, таргетированная, медийная реклама.

18. После внесения всех изменений отслеживайте правильный сбор статистики в системах аналитики, количество страниц в индексе в панелях Яндекс Вебмастер и Google Search Console, позиции важных и наиболее трафиковых страниц.

yandex.ru

Заблокированный небезопасный контент — Устранение!

Заблокированный небезопасный контент на сайте.

Содержание статьи

Приветствую, дорогие друзья! Если вы начинающий веб-мастер или просто автор блога эта статья будет безусловно полезна для вас. Речь пойдет о сообщении в правом углу адресной строки «Заблокированный небезопасный контент». Иногда это сообщение может абсолютно не вредить сайту, а иногда это может испортить внешний вид кардинально и не только.

Если вы читаете эту статью, значит у вас на сайте появилась такая проблема. И вы решили её устранить, и понять почему она произошла. Об этом и поговорим в этой статье. Я расскажу из-за чего она появляется, как её обнаружить и как устранить. Но давайте всё по порядку …

 

Причина появления этого сообщения.

Сообщение «Заблокированный небезопасный контент» возникает обычно на тех сайтах, где установлен SSL сертификат безопасности. Иными словами, где адрес сайта выглядит так: https://wpmaster.kz/. И появляется данная проблема тогда, когда на защищенном сайте появляются подключения по обычному протоколу http://… В этом случае браузеры начинают ругаться и блокировать этот контент, считая, что он может быть небезопасным для пользователей.

Для автора блога или вебмастера это может быть огромной проблемой для репутации. Приведу распространенный пример. Допустим, зашел посетитель на ваш сайт\блог и видит, что браузер заблокировал что-то на этом сайте. Как вы думаете, о чем он подумает в первую очередь? А подумает он, что вы ему пытаетесь впихнуть что-то плохое из рекламы, или ещё того хуже, пытаетесь запустить «Хакерскую программу», чтобы украсть его пароли и так далее. Для него браузер будет хорошим, что помешал этому проникновению, а вы плохой. Он ведь не знает истинную причину, он не веб-мастер, и навряд ли к вам вернется. И таких посетителей, поверьте, много!

 

Как найти небезопасный контент на сайте.

Для примера я возьму живой блог по творчеству для детей, Юлии Шерстюк. Надеюсь она не будет сильно кричать на меня и пинать ногами

. Этот пример исключительно для пользы другим веб-мастерам.

В каждом браузере присутствует специальная панель для веб-мастеров по умолчанию. Именно ей мы и воспользуемся. Правда обычно она на английском языке, но разобраться в ней не очень сложно, поверьте. Тем более я на скринах покажу куда нажимать и что делать. Надеюсь трудностей больших не возникнет.

Итак, открыли вы страницу своего сайта и высветилось сообщение «Заблокированный небезопасный контент». Щелкаете правой кнопкой мыши в любом месте страницы и в контекстном меню выбираете последний пункт «Посмотреть код элемента». В отдельных случаях, этот пункт может немного по другому называться, например «Посмотреть код страницы». Нужный нам пункт всегда находится последним в списке, не ошибётесь. После открытия увидите такую панель:

Нам нужна вкладка Security, посмотрите на скрине где она находится и переходите в этот раздел. Теперь не закрывая панель веб-мастера перегружаете страницу, например клавишей F5. После перезагрузки панель покажет небезопасные соединения на сайте и выделит их красным цветом. Именно на них нам и нужно обратить внимание. Выглядеть это будет примерно так:

 

Как исправить незащищенный протокол http.

Как видите, на данном сайте всего одно подключение, которое портит всё впечатление о блоге в целом. И это подключение, один из блоков рекламы от площадки Advertur. А, чтобы исправить это, достаточно в этом блоке заменить адрес подключаемого рекламного скрипта с http://ddnk.advertur.ru на https://ddnk.advertur.ru или ещё современнее на //ddnk.advertur.ru. Последний вариант предпочтительнее.

Думаю, каждый веб-мастер или автор блога, знает, где какая реклама у него на сайте. Поэтому с поиском нужного блока рекламы, проблем возникнуть не должно. И после этих, не хитрых манипуляций, сообщение «Заблокированный небезопасный контент» полностью исчезнет.

Вот таким простым способом, можно отследить любой незащищенный протокол на вашем сайте. Бывают моменты, что разработчик темы подключает скрипты по протоколу http в самом шаблоне. Для устранения этой проблемы, откройте файл header.php и footer.php и замените все подключения http на https и всё будет гуд!

На этом у меня всё. Надеюсь статья была для вас полезна. Если возникнут какие-то вопросы в процессе устранения данной ошибки, смело задавайте их в комментариях. Не забывайте подписываться на новостную рассылку, там нет-нет бывают денежные бонусы … До встречи на страницах блога.

wpmaster.kz

Незащищенный протокол HTTP — что это, как исправить в Яндекс Браузере

С недавнего времени, при посещении некоторых сайтов через Яндекс Браузер, пользователи начали наблюдать довольно странное предупреждение — «На сайте используется незащищенный протокол HTTP» которое выскакивает в красном предупреждающем треугольнике. Многие пользователи воспринимают это уведомление как проблему в их браузере или даже компьютере. Однако, это не совсем так.

В статье мы расскажем, почему Яндекс Браузер предупреждает о незащищенном протоколе HTTP и что это означает для вебмастеров и посетителей сайтов. Также мы подскажем, каким образом убрать эту отметку.

Предупреждение о незащищенном протоколе HTTP в Яндекс Браузере

Что значит незащищенный протокол HTTP?

Незащищенный протокол HTTP — это особое предупреждение, которое говорит пользователю, что передача данных на этом сайте не имеет шифрования и не защищена от действия третьих лиц. Уведомление выводится из-за активной опции Protect (Защиты), которая вшита в Яндекс Браузер по умолчанию.

Основная цель технологии Protect — защитить весь процесс вашего серфинга в интернете. Защитная технология от Яндекса сканирует посещаемый вами сайт и если на нем обнаруживаются фатальные проблемы (например, вирусные скрипты) — блокирует к нему доступ. Конечно же, Протект объяснит вам суть выявленной опасности. Помимо этого, такая защита контролирует следующие аспекты:

1. Проверка безопасности активных на компьютере и телефоне Wi-Fi сетей;
2. Защита ваших логин-паролей, мобильного банкинга и платежей в Сети;
3. Проверка загружаемых файлов из Сети;
4. Блокировка рекламы со спамом и шокирующим контентом.

Но давайте поговорим о незащищенных протоколах, которые могут испугать неосведомленных пользователей. Вы должны понимать, когда HTTP опасен, а когда в нем нет особой нужды.

Итак, HTTP это устаревший протокол передачи данных, который до недавнего времени активно использовали большинство web-порталов. Но с ростом технологий стал активно расти и уровень хакерских атак, которые теперь без особых проблем могли перехватить ваши данные. Перехват информации осуществлялся в момент передачи от пользователя к серверу. В связи с этим, был разработан более улучшенный протокол HTTPS.

Защищенный протокол HTTPS имеет ряд преимуществ перед HTTP

Улучшенный HTTPS имеет несколько уровней безопасности и в обязательном порядке шифрует весь передаваемый трафик от клиента к серверу. Такое шифрование (TSL/SSL) играет важнейшую роль при пользовании мобильным банком, онлайн-магазином или той же социальной сетью. Вообщем — все ресурсы, на которых вы вводите свои данные, должны иметь HTTPS (он обозначается зеленым замком).

Яндекс и Google являются самыми крупными игроками в Рунете, поэтому они первыми порекомендовали владельцам сайтов переходить на шифрованный протокол. Для страниц, где требуется ввод ваших данных, рекомендации имеют обязательный характер. Для остальных же сайтов пока нет четких правил и настоятельных требований убрать устаревший протокол. Однако Яндекс Браузер ввел для отстающих сайтов предупреждение, которое выливается в то самое «На сайте используется незащищенный протокол HTTP».

Опасно ли заходить на такой сайт?

Если вы посещаете обычный статейник или блог, в поисках ответа на актуальный вопрос — то никакой опасности для вас там не имеется. По факту, все выглядит так: вы зашли, просмотрели нужную вам информацию и закрыли страницу. Если же вы открываете условный онлайн-магазин, где будете вносить свои телефоны, e-mail или проводить оплату, а на нем нет значка HTTPS (обозначается замочком в адресной строке) — вы находитесь на потенциально опасной странице. Лучше не посещать эту страницу.

Как убрать незащищенный протокол в Яндекс Браузере?

К сожалению, по умолчанию нельзя отключить предупреждение о незащищенном протоколе — красный треугольник со знаком будет висеть на всех сайтах, использующих устаревший HTTP. В такой ситуации переживать уже нужно владельцу сайта, ведь такое предупреждение отпугнет многих читателей или клиентов. Вебмастеру нужно обратиться к своему хостингу и узнать там об условиях установки SSL-сертификата.

Конечно же, в некоторых случаях посетителю могут полностью блокировать переход. В таком случае, что бы открыть страницу (на свой страх и риск), нужно отключить все опции в технологии Protect:

1. Вносим в адресную строку browser://protect/, тем самым открывая настройки Протекта.
2. Тут снимите все галочки и перезагрузите саму программу Я.Б.

   Для отключения Protect нужно снять все галочки в пункте защита от угроз

3. Имейте ввиду — все эти действия негативно отобразятся на вашем дальнейшем серфинге, поэтому делать этого мы не рекомендуем.

Есть и другой момент — у вас все сайты обозначаются незащищенным протоколом. Такое может возникнуть из-за вирусных атак в самом ПК или неверной настройке даты/времени. Советую открыть настройку даты и времени в Windows с верить точное время и главное — поставить правильный часовой пояс.

Проверьте правильность даты/времени и часового пояса на устройстве

Также нужно прогнать саму систему через антивирусные сканеры, типа Kaspersky Removal Tool, Malwarebytes, Dr.Web CureIt!. Для пущего эффекта лучше сбросить и настройки самой программы Яндекс Браузер. Имейте ввиду: современные вирусы, проникшие в систему, могут натворить много бед — поэтому обнаруживать и избавляться от них нужно сразу.

Заключение

Теперь вы понимаете, что означает предупреждение о незащищенном протоколе HTTP в Яндекс Браузере и о чем именно вас информируют в момент перехода. Еще раз напомню — убрать красный значок не получится, этим должен заняться хозяин ресурса. Старайтесь посещать сайты, которые в поиске отмечены зеленым значком «закрытый замочек». Если остались вопросы — пишите в комментариях.

Оценка статьи:

Загрузка…

igrolevel.ru

Chrome полностью заблокирует смешанный контент / GlobalSign corporate blog / Habr

Загрузка картинок с незащищённых сайтов тоже будет блокироваться

Google продолжает продвигать HTTPS, всё больше ограничивая в возможностях сайты, у которых нет TLS-сертификатов, хотя таких сайтов осталось уже мало. С июля прошлого года Chrome начал помечать такие сайты как небезопасные. Сейчас следующий шаг — компания анонсировала ряд шагов по постепенной блокировке смешанного контента.

Смешанный контент (mixed content) — это незащищённые элементы, передаваемые по HTTP-протоколу через страницы с SSL-сертификатом. Например, изображения, аудио и видео со сторонних (незащищённых) доменов. От такой практики придётся отказаться совсем.

«За последние годы в интернете достигнут большой прогресс в переходе на HTTPS: доля защищённого трафика в Chrome превысила 90% на всех основных платформах. Теперь мы хотим убедиться, что конфигурации HTTPS через интернет являются безопасными и актуальными», — объясняется в официальном блоге компании.

Сейчас браузеры по умолчанию блокируют многие типы смешанного контента, в том числе скрипты и фреймы, но мультимедийные элементы ещё загружаются. По мнению специалистов Google, это угрожает конфиденциальности и безопасности пользователей. Поскольку такой трафик не шифруется, то он подвержен всем видам MiTM-атак. Например, злоумышленник может подделать биржевой график, чтобы ввести в заблуждение инвесторов, или поставить на страницу следящий трекер.

Загрузка смешанного контента также вводит в заблуждение с точки зрения UX-интерфейса. Получается, что страница представлена ни как безопасная, ни как небезопасная, а где-то между ними.

«Начиная с версии Chrome 79 будет происходить постепенная блокировка по умолчанию всего смешанного контента. Чтобы минимизировать ущерб, мы автоматически переведём смешанные ресурсы на https://, поэтому сайты будут продолжать автоматически работать, если их сторонние ресурсы доступны также по https://, — поясняет Google. — Пользователи смогут включить параметр, чтобы отказаться от блокировки смешанного контента на определённых веб-сайтах».

Chrome 79 выйдет на стабильном канале в декабре 2019 года. Там появится новая настройка для разблокировки смешанного контента на определённых сайтах. Этот параметр будет применяется к скриптам, фреймам и другим типам контента, которые Chrome в настоящее время блокирует по умолчанию. Доступ к настройкам сайта (Site settings) открывается по нажатию на пиктограмму замочка, как показано на скриншоте.

На втором этапе с версии Chrome 80 (ранние версии появятся в январе 2020 года) все ресурсы, кроме изображений, которые подгружаются с незащищённых сайтов, будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не смогут загружаться по . Описанная выше настройка по разблокировке останется доступна.

Единственным исключением станут изображения, которые браузер не будет блокировать даже с незащищённых соединений. Но для таких ситуаций в интерфейсе появится предупреждение «Не безопасно», как на скриншоте.

В Chrome 81 (ранние версии появятся в феврале 2020 года) изображения тоже будут автоматически переведены на https://, и Chrome заблокирует их по умолчанию, если они не загружаются по HTTPS.

Google рекомендует веб-разработчикам провести аудит своих ресурсов с помощью инструмента Lighthouse или использовать сторонние плагины и утилиты. Например, есть такой плагин для WordPress и утилита от Cloudflare.

См. также «Полное руководство по переходу на HTTPS» на Хабре.

Изменения в Chrome вскоре повторят остальные браузеры. Google обычно не делает такие шаги в изоляции. Всё происходит согласованно с коллегами из групп разработки Firefox, Edge и Safari. Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.

---

habr.com