Chrome-selaimen käyttäjiä hemmotellaan Not secure –sivumerkinnän käyttöönotolla
Google on ensimmäinen, joka merkitsee Chrome-selaimessaan turvattomiksi kaikki ne domainit, joissa ei toimi SSL/https-suojaus.
SSL-sertifioidut sivustot käyttävät aina https-alkuista osoitetta. Tämän endrauksen ajoitus oli varsin oikea, koska tiedetään, että uusimmassa kyberhyökkäysaallossa tähän asti murtamattomana pidetyn https-protokollan toimintaa on sabotoitu reitittimissä.
VPNFilter-nimisen reititinten tuhoojan uudet, pirulliset versiot voivat murtaa https-protokollan reititintasolla. Chromeen tulee ilmoitus vakavasta tietoturvauhasta, kun https tipahtaa pois päältä. SSL-sertifioudun https-protokollan käyttö on vuosikymmeniä kertonut siitä, että verkko-ostosten tai verkkopankkiyhteyksien tietoliikenne on salattu vahvasti. Suojaamattomasta verkkosivusta varoitetaan paitsi ikonilla nyt myös tekstillä, joka ilmestyy verkko-osoitteen osoiterivin viereen. Google Security Blog -blogi suorastaan pullisteli ylpeydestä kertoessaan uusista turvaratkaisuista. Suojatut sivustot merkitään puolestaan vihreällä ikonilla ja ”secure” -tekstillä.
Chrome on jo menossa selainversiossa numero 68. Siinä teemana on datan siirron turvallisuuden varmistaminen. Chromeen on satsattu valtavasti. Ilmaiseksi jaettavan selaimen ansaintalogiikka tietysti käyttäjäpäässä saattaa hieman mietityttää, mutta viimeaikoina Googlea koskien ei ole näkynyt paljastuksia, että se olisi myynyt käyttäjädataansa käyttäjäsopimusten vastaisesti, esimerkiksi suurvaltojen salaisille palveluille tai muihin hämäräkohteisiin.
Viime vuonna sivustojen https-suojausten määrä kasvoi rajusti, ja sama suuntaus jatkuu edelleen. Googlen mukaan yli 67 prosenttia Chrome-liikenteestä sekä Android- että Windows-pohjalla on jo suojattu. Vielä parempaa on se, että 78 prosenttia Chrome-liikenteestä sekä Chrome-käyttöjärjestelmissä että Mac-tietokoneissa tiedetään SSL-sertifioidusti suojatuksi. Web-sivustoista 100 parhaaksi valkatun sivuston kärkiryhmässä peräti 81 oletusarvoisesti käyttää https-protokollaa.
Parsimista silti riittää. Kyberrikollisten mielenkiinto näyttäisi nyt siirtyvän css-koodin kääntäjän suuntaan. Ars Technica -sivusto väitti äskettäin, että suosituissa Chrome- ja Firefox-selaimissa olisi noin vuoden ajan toiminut haavoittuvuus, joka tietyn css-turva-aukon kautta olisi vuotanut ainakin Facebookin käyttäjien graafisia aineistoja, kuvia ja tilejä salasanoineen ynnä muita yksityistietoja. Tämä kybermurto tosin edellytti, että tuleva kalastelun uhri oli saastuttanut selaimensa vieraillessaan määrätyllä hyökkäyskoodia sisältäneillä verkkosivulla (lue: aikuisviihdesivuilla). Tuttu kaava.
Selaimeen ujutettu haittakoodi hyödynsi css-koodauksen vasta käyttöönotettuja uusia ominaisuuksia. Chrome-selaimen suurissa ohjelmistopäivityksissä, jotka merkitään selainversioina, pyritään ennakoimaan juuri css:n kehitettyjen uusien haittaominaisuuksien vaarat. Css-haavoittuvuuden väitetään toimineen Firefoxissa vielä pitkään sen jälkeen kun Chrome oli sen jo paikannut.
Luonnollisesti Google ei kehuskele tällaisilla reaali-virtuaalimaailman takapihalta löytyvillä rojuilla. Tuo css-aukko oli muuten kahden eri tietoturvaryhmän havaitsema.
Edelleen varoitetaan html5- ja css-standardiin liitetyistä uusista graafisista härpäkkeistä. Ne ovatkin usein tarpeettomia hienouksia, ja selaimen valikoista pitäisi moiset hienoudet halutessaan pystyä torppaamaan, koska varmuus tietoturvasta menee kaiken edelle. Lähetänpä tästä aiheesta viestiä Googlellekin päin, koska hövelisti siellä pyytävät palautetta.
