Несмотря на широкое распространение HTTPS сегодня, HTTP-контент на безопасных страницах все еще существует. Google работает над устранением этой проблемы, и Chrome теперь уделяет внимание и предупреждает о небезопасных формах.
Эти «смешанные формы» (формы на сайтах HTTPS, которые отправляют данные не по HTTPS) представляют риск для безопасности и конфиденциальности пользователей. Информация, отправленная в этих формах, может быть видна посторонним, позволяя злоумышленникам читать или изменять конфиденциальные данные формы.
На сегодняшний день браузер Google удаляет значок замка в адресной строке с сайтов со смешанными формами. Однако это оказалось «неясным» опытом, который «неэффективно сообщал о рисках, связанных с отправкой данных в небезопасных формах».
Начиная с версии 86, которая должна выйти в стабильную версию в октябре, Chrome будет предоставлять более агрессивное предупреждение о небезопасных формах. Автозаполнение будет отключено, но встроенный менеджер паролей продолжит предлагать «уникальные пароли». Компания утверждает, что это безопаснее, чем повторное использование учетных данных.
Далее в форме под полем будет отображаться красный предупреждающий текст: «Эта форма небезопасна. Автозаполнение отключено. Последняя мера — полноэкранное предупреждение, информирующее о потенциальных рисках. Оно дает пользователям возможность отменить действие, но будет присутствовать кнопка «Отправить все равно».
Разработчикам сайтов рекомендуется «полностью перенести формы на своих сайтах на HTTPS для защиты своих пользователей».
Разработчики, у которых есть вопросы, могут написать нам по адресу security-dev@chromium.org.
Другие инициативы в этом направлении включают: