Chrome web tarayıcısının yeni güvenlik varsayılanlarının iyi ve kötü yönleri

  • Sep 04, 2023

Chrome 90'dan itibaren otomatik olarak herhangi bir web sitesinin güvenli sürümüne yönlendirileceksiniz. Bu iyi ama inandığınız kadar iyi değil.

İlk olarak iyi haber. Google'ın Chrome 90 web tarayıcısının Nisan ortasındaki sürümüyle başlayarak, Chrome, varsayılan olarak güvenli bir web sitesinin sürümünü yüklemeyi deneyecek Aktarım Katmanı Güvenliği (TLS) ile. Bunlar, çoğumuzun Chrome adres (URL) çubuğu olarak bildiği Chrome Çok Amaçlı Adres Çubuğu'nda kapalı bir kilit gösteren sitelerdir. Kötü haber şu ki, bir sitenin güvenliğinin HTTPS ile sağlanması onun güvenilir olduğu anlamına gelmez.

ZDNET Öneriler

  • En iyi VPN hizmetleri
  • En iyi güvenlik anahtarları
  • En iyi antivirüs yazılımı
  • En hızlı VPN'ler

Birkaç yıl önce, saygın bir WordPress güvenlik şirketi olan WordFence şunu buldu: SSL sertifikaları, sertifika yetkilileri (CA) tarafından kimlik avı sitelerine veriliyor başka sitelermiş gibi davranmak. Sahte tesislerde çalışsalar bile sertifikalar geçerli olduğundan Chrome bu sitelerin güvenli olduğunu bildirir. Doğru, bu bağlantı üzerinden gönderilen veriler güvenli ama güvenli mi? Bence değil!

Elbette CA'lar sahte güvenlik sertifikaları vermemelidir. Ne yazık ki oluyor. "Neden güzel şeylere sahip olamıyoruz" sorusunun mükemmel bir örneği ortaya çıktı: Haydi Şifreleyelimücretsiz, açık ve otomatik CA kullanıldı "PayPal" kullanarak yasa dışı kimlik avı siteleri için binlerce SSL sertifikası oluşturmak adlarının bir parçası olarak. Sadece PayPal değil. Google, Microsoft ve Apple'ın adları da kimlik avcıları tarafından boşuna ele geçirildi.

Aynı zamanda yalnızca CA sürecinin kötüye kullanılması da değildir. Paul Walsh, kurucusu ve CEO'su sıfır güven güvenliği şirket, Meta Sertifikası ve kurucu ortağı Dünya Çapında Ağ Konsorsiyumu (W3C)URL Sınıflandırma Standardı, HTTPS'nin tek başına internet bağlantılarımızın güvenliğini sağlamak için yeterli olduğuna dair saf inancımızla başka birçok sorun görüyor.

Doğru, Walsh şöyle tweet attı: "Ne zaman DNS tabanlı güvenlik hizmetleri ilk kez tanıtıldı, web'in büyük kısmı şifrelenmemişti ve tehdit aktörleri Google, Microsoft, GitHub ve diğerleri gibi güvenilir alanları kullanmıyordu. Yani geçmişte etkiliydiler ama bugün daha az etkiliydiler." Önde gelen serbest CA, Hadi Şifreleyelim, 2015'te başladıWeb sitelerinin beşte birinden azı HTTPS ile güvence altına alınıyordu. Bugün, Sitelerin %82,2'si kapsanıyor.

Bu daha sonra. Bu şimdi. Ve başka sorunlar da var.

Öncelikle Walsh şunu düşünüyor: Google'ın yaptığı şey "teoride harika ama uygulamaları berbat". Tek bir paydaşı temsil eden tek bir şirketin, her web sitesi oluşturucusu ve her biri için doğru olduğunu düşündüğü şeyleri belirtmesinin etik olmadığını düşünüyorum. Web'i kullanan kişi." Böyle hisseden tek kişi Walsh değil; birçok kişi bunu web güvenliğinde küçük ama gerçek bir adım olarak düşünürken, diğerleri düşünmek, "https'yi insanların boğazına zorlamak aptalca bir fikir."

Ayrıca, Walsh'un web sitesi güvenliği analizinde gözlemlediği gibi, "temel [URL] asma kilit, kullanıcılara bir web sitesine olan bağlantılarının şifrelendiğini bildirmek için tasarlanmıştır. A asma kilit güven veya kimlikle ilgili hiçbir şeyi temsil etmez. Tarayıcı tasarımcıları kullanıcı arayüzlerinin tasarımı konusunda iyi bir iş çıkarmadılar. Araç çubuğunda ayrı bir simge gibi web sitesi kimliğini daha belirgin hale getirmeleri ve onu asma kilitten tamamen ayırmaları gerekirdi."

Başka bir deyişle, gerçek Amazon, eBay veya PayPal gibi davranan bir siteye "güvenle" bağlanabilirsiniz. Bu bir başarısızlık.

Ayrıca: Kimlik avı nedir? Kendinizi dolandırıcılık e-postalarından ve daha fazlasından korumak için bilmeniz gereken her şey

Bunun nedeni yalnızca gerçek HTTPS sertifikalarına sahip sahte siteler değildir. Walsh şunu belirtiyor: Modlishka saldırılar yaratır ters proxy Siz ve ziyaret etmek istediğiniz web sitesi arasında. Gerçek şeye bağlıymışsınız gibi görünüyor çünkü Meşru web sitesinden orijinal içerik ancak ters proxy, tüm trafiğinizi Modlishka sunucusuna ve Modlishka sunucusundan sessizce yönlendiriyor. Böylece kullanıcı tarafından girilen "kimlik bilgileriniz ve şifre veya kripto cüzdan adresi gibi hassas bilgileriniz otomatik olarak tehdit aktörüne aktarılır. Ters proxy ayrıca web sitesi tarafından istendiğinde kullanıcılardan 2FA belirteçlerini de ister. Saldırganlar daha sonra kurbanların hesaplarına erişmek için bu 2FA tokenlarını gerçek zamanlı olarak toplayabilir."

Ah.

Bunun yanı sıra Walsh, ücretsiz ve kolay HTTPS sertifikalarının iyi bir şey olduğuna hiç de ikna olmuş değil. Walsh şunları yazdı: "Otomatik olarak verilen ücretsiz DV sertifikalarını kullanan siber saldırıların hacmi, bana göre internetin Güvenilir Bilgi İşlem Tabanını (TCB) zayıflattı. Ücretsiz DV sertifikaları da toplumun güvenliği ve refahına yönelik varoluşsal bir tehdittir."

Cevap? Walsh'a göre CA'lar şunları yapmalıdır:

  1. Kimlik doğrulama süreçlerini sıkılaştırın.
  2. Kimlik doğrulaması almanın maliyetini, süresini ve çabasını azaltın.
  3. Tarayıcı satıcıları, tarayıcı araç çubuğu için kimlik doğrulaması için asma kilitten uzakta anlamlı bir simge tasarlamalıdır.
  4. Tarayıcı satıcıları, web sitelerinin gerçek kimliğinin sezgisel olmasını sağlayacak şekilde kullanıcı deneyimini geliştirmelidir.

O zaman ve ancak o zaman web gerçekten güvenli olma yolunda ilerleyecektir.

İlgili Öyküler:

  • Eksik bir URL yazdığınızda Chrome yakında ilk olarak HTTPS'yi deneyecek
  • Chrome tarayıcının 'güvenli' olması 'güvenli' ile aynı şey değil
  • Cloudflare, Magecart kartı gözden geçirme saldırılarını engellemek için Page Shield'ı başlattı