A equipe de segurança do projeto Chromium foi expulso de um debate sobre se o navegador irá marcar todas as páginas HTTP como inseguro.
"Nós ... propor que os agentes do utilizador (UEA) mudar gradualmente sua UX para exibir origens não-seguras como afirmativamente não segura", escreve a equipe neste posto .
O post diz gol da equipe "... é para mostrar mais claramente aos usuários que HTTP não oferece segurança de dados", porque "" Todos nós precisamos de comunicação de dados na web para ser seguro (privado, autenticado, untampered). "
Se os usuários não estão desfrutando de uma boa segurança, a equipe sugere, os navegadores "... deve mostrar explicitamente que, assim os usuários podem tomar decisões informadas sobre como interagir com uma origem."
A equipe também apontam que o tráfego HTTPS geralmente produz uma alteração na interfa usuário, notificação ce, mas o tráfego HTTP inseguro não.
O post propõe que os navegadores, em vez definir e informar os utilizadores dos três níveis de segurança:
- Seguro (HTTPS válidas, outras origens, como (*, localhost, *));
- Duvidosos (HTTPS válidos, mas com recursos passivos mistos, HTTPS válidos com erros TLS menores); e
- Não segura (HTTPS quebrado, HTTP).
Os autores do pós ter jogado o tópico aberto para debate, postando várias listas de discussão influente para obter feedback. Mas eles parecem ter a intenção sobre a mudança: o post diz: "Temos a intenção de elaborar e iniciar a implantação de um plano de transição para o Chrome em 2015." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário