ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บท ี่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานไ ด้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้ งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้าร หัสอย่างไม่ปลอดภัย
ข้อเสนอนี้ที่จริงแล้วเริ่มต้นจากฝั่ง Firefox เมื่อกลางปีที่ผ่านมาโดย Daniel Roesler (ไม่มีข้อมูลบนเว็บของไฟร์ฟอกซ์ แต่น่าจะเป็นผู้ก่อตั้งบริษัท UtilityAPI) เปิดบั๊กหมายเลข 1041087 ขอให้ไฟร์ฟอกซ์พิจารณาแสดงไอคอนเตือนผู้ใช้ว่าเว็บที ่ไม่ได้เข้ารหัสแต่ข้อเสนอนี้ถูกปฎิเสธและปิดบั๊กไป แต่ตอนนี้บั๊กกลับมาเปิดใหม่อีกครั้งเพราะทางกูเกิลเ สนอข้อเสนอแบบเดียวกันบนเว็บของโครม
ข้อเสนอของกูเกิลระบุให้เริ่มช่วงเปลี่ยนผ่าน โดนเริ่มจากแจ้งเตือนว่าน่าสงสัย (Dubious) กับเว็บที่ไม่ได้เข้ารหัสก่อน เมื่อผ่านไประยะสองจึงแจ้งเตือนว่าเว็บที่ไม่เข้ารหั สนี้ไม่ปลอดภัย (Non-secure) เมื่อเปลี่ยนผ่านไประยะสุดท้าย เว็บที่เข้ารหัสและมีการยืนยันจะกลายเป็นเว็บธรรมดาท ี่ไม่ได้แจ้งเตือนพิเศษอะไร แต่แจ้งเตือนเฉพาะเว็บที่ไม่สามารถยืนยันต้นทางได้เท ่านั้น
แนวทางการเปลี่ยนผ่านนี้อาจจะเป็นการกำหนดเป็นเวลาตา ยตัวหรือพิจารณาจากสถิติเช่นเว็บส่วนมากปรับปรุงเป็น เว็บที่ปลอดภัยเกินค่าหนึ่งแล้วจึงปรับระดับไปเรื่อย ๆ โดยทางกูเกิลระบุว่าข้อเสนอนี้ยังต้องผ่านการพูดคุยก ันอีกมาก
ข้อเสนอแบบนี้เป็นข้อเสนอระดับเบื้องต้นมาก กว่าจะได้รับการยอมรับคงเป็นปีหน้า และระยะเวลาบังคับใช้อาจจะกินเวลาอีกนับปีครับ
ที่มา - Chromium.org, Mozilla: Bugzilla #1041087
Browser, Security, Chrome, Firefox




อ่านต่อ...