גוגל מתריעה על אתרים לא מאובטחים

יש לכם אתר לא מאובטח? בקרוב כרום יתריע בפני משתמשים שאתם לא משתמשים ב-https.

גוגל, או יותר נכון אנשי גוגל המנווטים את פרויקט כרומיום הנמצאת בבסיס כרום, דפדפן הרשת הפופולרי ביותר כבר שמו עין על אתרים שאינם מאובטחים. מה הכוונה בלא מאובטחים? רואים את ה-https הירוק ליד כתובת אינטרנט ישראל? זה אומר שכל תקשורת בינכם לבין האתר היא תקשורת מאובטחת. תקשורת שלא ניתן להאזין לה. אני יודע שכשחושבים על 'האזנה' מדמיינים סוכני CIA שפורצים למרכזיית תקשורת, אך האזנה יכולה להיות פשוטה בהרבה: למשל בעל בית קפה שדרך ה-wi-fi שלו אתם גולשים יכול להאזין לתקשורת שלכם או וירוס קטן שיושב על הראוטר שלכם.

כבר בעבר גוגל הודיעו שהם יתעדפו בתוצאות מנועי החיפוש אתרים שמשתמשים ב-https. גם מהצד שלהם אנשי כרום החלו לדחוף את עניין השימוש בפרוטוקול מאובטח. ראשית כל אתר המשתמש בשדה סיסמה יזכה לחיווי נאה של Not secured אם הוא נמצא בדף לא מאובטח. הכנסו עם כרום לחנות כלשהי שאינה מאובטחת ב-https ומכילה כניסת לקוחות. ישר תוכלו לראות את החיווי הזה בשורת הכתובות:

שורת כתובת של דפדפן כרום. ליד הכתובת יש חיווי של not secured
שורת כתובת של דפדפן כרום. ליד הכתובת יש חיווי של not secured

לא מזמן גוגל הודיעו שהחל מאוקטובר, החיווי הזה יכל בכל אתר שיכיל כל שדה input שהוא. כלומר גם למשל בטוקבקים באתר ynet שאינו מאובטח. ברגע שמשתמש יתחיל להקליד את הטוקבק שלו לכתבה, הוא יקבל חיווי מיידי שהאתר אינו מאובטח.

דוגמה מהבלוג של גוגל לחיווי המופיע בעת הקלדה על שדה קלט
דוגמה מהבלוג של גוגל לחיווי המופיע בעת הקלדה על שדה קלט

כמובן שכל כלי התקשורת גם יסבלו מזה חוץ מהאתר הארץ ו-וואלה שבולטים באיכות הטכנולוגית שלהם מעל שאר הרפש הישראלי ושניהם מאובטחים בפרוטוקול https.

אם נכנסים לאתר במוד אינקוגניטו, יופיע חיווי באתר בלי שום קשר להקלדה של הגולש. גוגל עושים את זה כיוון שהם מניחים, עם מידה לא מבוטלת של צדק, שמי שגולש במוד אינקוגניטו מקפיד יותר על פרטיות. בפוסט בלוג גוגל הבהירו שזה גם העתיד עבור הדפדפן הרגיל.

יש לכך השלכות לא מבוטלות על השוק הישראלי כיוון שברוב העמודים, קטנים או גדולים, יש שדות קלט ובמיוחד באתרים קטנים כמו עמודי נחיתה. לקוחות לא יאהבו לראות שבראש עמוד הנחיתה המושקע שסיפקתם להם יהיה not secured.

אז מה עושים? מבינים שאין מנוס מלבד לעבור ל-https. ניתן ואף רצוי לעבור ל Let’s Encrypt שהוא שירות מבוסס קוד פתוח וחינמי לחלוטין המאפשר SSL על השרת שלכם. יש לא מעט ספקי אחסון (כמו siteground למשל) שתומכים בו Out of the box. כך זה נראה ב-cpanel של האתר הזה למשל:

שירות lets encrypt במשק הניהול cpanel
שירות lets encrypt במשק הניהול cpanel

זה מאפשר ליצור תוך שניות תעודת אבטחה. כמובן שנדרשת הבנה מינימלית בהצפנה. אבל אני מאמין שזה ידע אלמנטרי שיש לכל בונה אתרים.

אם אתם מזמינים שירות מבונה אתר, הקפידו על כך שהאתר חייב להיות ב-SSL. אם בונה האתר טוען שזה 'מסובך' או 'יקר' – החליפו אותו כיוון שזה לא מסובך, לא יקר ובוודאי שלא מאט את האתר (ואף יכול להאיץ אותו).

ראוי לציין שפיירפוקס היה שם קודם וכבר מבצע התראה בפני הגולשים על שימוש בפרוטוקול לא מאובטח. זה העתיד של הרשת חברים.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

גלילה לראש העמוד