Организация информационной безопасности


Google меняет систему оповещений в Chrome

Фотография предоставлена:

Начиная с Chrome 46, пользователи более не увидят желтую треугольную иконку-предупреждение, используемую для HTTPS-страниц, имеющих незначительные нарушения. В минувший вторник Google заявила, что подобные страницы отныне будут отмечаться нейтральной иконкой, используемой для незашифрованных HTTPS-страниц, и что подобное изменение отразится на отображении HTTPS-страниц со смешанным контентом.

«Сейчас администраторы сайтов стоят перед дилеммой: переход с HTTP на HTTPS приведет к появлению смешанного контента, что весьма нежелательно в долгосрочной перспективе, однако крайне важно для отладки в процессе перехода. В этот период сайт может оказаться не полностью безопасен, но все равно будет надежнее, чем прежде, — пишут в блог-записи Лукас Гаррон (Lucas Garron) и Крис Палмер (Chris Palmer) из команды безопасности Chrome. — Снять желтую треугольную иконку — значит оставить пользователей в неведении относительно смешанного контента на сайте, находящемся в процессе перехода на HTTPS. Надеюсь, наше альтернативное решение вынудит операторов сайтов поторопиться с переходом на HTTPS и не откладывать это дело в долгий ящик».

Защищенные HTTPS-страницы будут по-прежнему отображаться при помощи зеленой иконки закрытого замка, в то время как HTTP- и HTTPS-страницы, имеющие какие-либо недочеты, будут отображаться при помощи серых нейтральных иконок. HTTPS-страницы, содержащие серьезные нарушения, будут, как и ранее, отображаться при помощи красной иконки с перечеркнутой линией.

«Мы стараемся соблюсти баланс: с одной стороны, нам нужно как можно более четко отображать статус безопасности страниц, с другой — стараться не перегружать пользователей излишним количеством информации, — пишут эксперты Google. — Как показала практика, желтая треугольная иконка вызывала слишком много недопониманий со стороны пользователей по сравнению с иконкой для HTTP-страниц, и мы решили, что лучше не заострять внимание пользователей на различиях в безопасности».

Chrome 46 также содержит патчи для 24 уязвимостей, отчеты о восьми из них были получены из внешних источников и принесли исследователям от $500 до $8837.

К числу этих багов относятся:

[$8837][519558] Высокая опасность CVE-2015-6755: cross-origin-обход в Blink. Обнаружена Мариушем Млыньским (Mariusz Mlynski).

[$6337][507316] Высокая опасность CVE-2015-6756: use-after-free-уязвимость в PDFium. Обнаружена анонимным исследователем.

[$3500][529520] Высокая опасность CVE-2015-6757: use-after-free-уязвимость в ServiceWorker. Обнаружена Колином Пейном (Collin Payne).

[$3000][522131] Высокая опасность CVE-2015-6758: bad-cast-уязвимость в PDFium. Обнаружена Атте Кеттуненом (Atte Kettunen) из OUSPG.

[$1000][514076] Средняя опасность CVE-2015-6759: утечка информации в LocalStorage. Обнаружена Мунеаки Нисимурой (Muneaki Nishimura, nishimunea).

[$1000][519642] Средняя опасность CVE-2015-6760: некорректная обработка ошибок в libANGLE. Обнаружена lastland.net.

[$500][447860 & 532967] Средняя опасность CVE-2015-6761: нарушение целостности памяти в FFMpeg. Обнаружена анонимным исследователем и Аки Хелином (Aki Helin) из OUSPG.

[$500][512678] Низкая опасность CVE-2015-6762: CORS-обход при помощи CSS-шрифтов. Обнаружена Мунеаки Нисимурой.

19.10.2015 06:51