Google rozpoczęło właśnie kolejną akcję wysyłania powiadomień poprzez Search Console
Od stycznia 2017 roku w przeglądarce Chrome (w wersji 56 i nowszych) strony internetowe, które zawierają formularze do wprowadzania haseł lub numerów kart kredytowych, będą oznaczane jako niezabezpieczone, o ile nie będą wykorzystywać protokołu HTTPS.
Na wskazanych poniżej stronach internetowych, znajdują się pola do wprowadzania haseł lub numerów kart kredytowych, które będą powodować wyświetlanie w przeglądarce Chrome nowych ostrzeżeń. Zapoznaj się z podanymi przykładami, by przekonać się, w których miejscach będą wyświetlane ostrzeżenia, i podejmij odpowiednie kroki w celu ochrony danych użytkowników. Ta lista nie jest wyczerpująca.
Powiadomienie/ostrzeżenie ma dotyczyć stron, które zawierają formularze służące do wprowadzania haseł lub numerów kart kredytowych na stronach nie znajdujących się na HTTPS
Jak czytamy dalej w przesłanym komunikacie
Nowe ostrzeżenie stanowi element pierwszej fazy długoterminowego planu mającego na celu oznaczenie wszystkich stron, które obsługują bezszyfrowy protokół HTTP, jako niezabezpieczonych.
Google ewidentnie zachęca właścicieli stron internetowych do tego, aby przenieść pola do wprowadzania haseł i numerów kart kredytowych na strony obsługujące protokół HTTPS – a najlepiej całe domeny
W tym samym komunikacie znajdziemy bowiem jeszcze taką informację informację
Nowe ostrzeżenie stanowi element pierwszej fazy długoterminowego planu mającego na celu oznaczenie wszystkich stron, które obsługują bezszyfrowy protokół HTTP, jako niezabezpieczonych.
Jeżeli dostaliście takie powiadomienie z przykładem strony, a nie widzicie na niej pola logowania to wyłączcie style (CSS) – najprościej poprzez wtyczkę Web Developer – i jestem przekonany, że wtedy je zobaczycie
PS 1
W komunikacie nie ma nic napisane o tym, że Google będzie obniżało pozycję takich stron w wynikach wyszukiwania NO ALE nie zdziwiłbym się, gdyby (jak nie teraz, to docelowo) tak miało być
PS 2
Ciekawy jestem, czy za jakiś czas taki komunikat będzie generowany dla stron zawierających zwykłe formularze kontaktowe
W wynikach wyszukiwania nic szczególnego nie będzie się działo, ale zespół zajmujący się Chrome będzie robił coraz więcej z HTTPS-em, bo jego brak na większości stron uniemożliwia wprowadzanie w Chrome ulepszeń optymalizujących komunikację sieciową.
Aby wprowadzić coś nowego w nieszyfrowanym HTTP, trzeba uaktualnić przeglądarki, serwery i wszystko pomiędzy – transparent proxy, firewalle, kompresory danych u operatorów komórkowych i wiele innych.
Aby wprowadzić coś nowego w HTTPS, trzeba uaktualnić tylko przeglądarki i serwery, dodatkowo jest możliwość negocjowania parametrów między jednymi a drugimi, tak jak to robi HTTP/2, bez brzydkich rozwiązań takich jak próbowanie najpierw nowego protokołu i resetowanie połączenia w celu przejścia na stary jeżeli wystąpił błąd.
Większość problemów z HTTPS-em, o których pisałem dawniej już nie istnieje: IE na Windows XP ma niski udział w rynku, Flash nie jest już modny, nawet w przypadku mniej istotnych elementów strony, sieci reklamowe albo obsługują HTTPS, albo zamierzają niedługo dodać jego obsługę, chyba wszystkie popularne systemy statystyk obsługują HTTPS.
Jest już Chrome 56.
Ostrzeżenie jest mniej widoczne niż myślałem że będzie – czarny napis „Niezabezpieczona” obok paska adresu, bez żadnej przekreślonej kłódki i innych symboli błędów zabezpieczeń. W przeciwieństwie do narzędzi dla webmasterów czy najnowszego Firefoksa, Chrome nie pokazuje ostrzeżenia gdy wszystkie pola typu password na stronie mają display: none w CSS-ie.