מדוע Chrome חושב ש-Gmail אינו מאובטח?


Lifehacker יקר,
מנעול האבטחה של גוגל כרום מטריף אותי. כשאני נמצא באתרים שצריכים להיות מאובטחים - כמו למשל Gmail - Chrome נותן לי אזהרות שהדף לא מאובטח. מה קורה כאן?

חָתוּם,
רגיש לביטחון

היי StS,
שמענו את השאלה הזו כמה פעמים, ובזמן שאתה יכולקרא הרבה על מחווני האבטחה של אתרי אינטרנט של Chromeבדף העזרה שלהם, דיברתי עם איאן פט, מנהל מוצר בכיר בצוות Google Chrome, כדי לקבל תמונה ברורה יותר למה זה קורה - במיוחד בחשבונות Gmail - ולמה, לרוב, זה לא משהו שאתה צריך להיות מודאג יותר מדי. הנה מה שלמדתי.

הבנת מדדי האבטחה של Chrome

סרגל הכתובות של Chrome מציג אחד ממספר סמלים לצד כתובת האתר של האתרים שבהם אתה מבקר, וסמלים אלה מציינים אם אתה גולש באתר מאובטח או לא.

אם אתה גולש באתר המשתמש ב-HTTPS (הגרסה מאובטחת ומוצפנת של HTTP), תראה גרסה כלשהי של סמל המנעול, וייתכן שתראה או לא תראה גם את מחוון האימותים המורחבים (EV). אם אתה הולך לבנק, למשל, תראה לעתים קרובות פס ירוק הממחיש שלאתר יש תעודת EV. זה בעצם תיעוד נוסף שמוכיח שהם החברה שהם אומרים שהם.

ה-EV הוא הדבר המועיל ביותר ש-Chrome עושה כדי לעזור לך לדעת שאתר אינטרנט הוא מי שהוא אומר שהוא, אבל לא בכל האתרים יש את זה; למעשה, רובם, מלבד אתרים העוסקים בכסף או אבטחה (כמו בנקים או, נניח, אתר האינטרנט לכלי ניהול סיסמאותLastPass), אל תעשה. כאשר אתר אינו מספק EV, תראה את הנעילה (מה שאומר שאתה עדיין מחובר לאתר באמצעות חיבור HTTPS) או את הגלובוס (מה שאומר שאתה גולש באמצעות חיבור HTTP לא מוצפן).

אם אתה רואה את הגלובוס בשורת הכתובת, זכור שכל מה שאתה רואה בדף זה יכול להיראות גם על ידי מישהו אחר באותה רשת ציבורית כמוך - ואנשים המשתפים את ה-Wi-Fi הציבורי עלולים להרוס את האימות שלך. קובצי Cookie, נניח, לנווט בפייסבוק כאילו הם אתה. (ככהכבשת אש עובדת.)

המנעול הירוק הוא האייקון האידיאלי, מנקודת מבט ביטחונית. אם אתה רואה את זה, אתה יודע שאתה נמצא באתר HTTPS מאובטח, כל מה שמוגש בדף מוגש באמצעות חיבור HTTPS מאובטח, ואם אתה גולש באתר דרך Wi-Fi ציבורי, אף אחד לא יראה את הדברים שלך או להיות מסוגלים לחטוף את העוגיות שלך.

מה לגבי כאשר המנעול מציג אזהרות?

דברים יכולים להשתבש: באתרים מאובטחים מסוימים, תמונות או רכיבי עמוד מוטמעים אחרים מוגשות באמצעות HTTP במקום HTTPS. אז אם גולשת בחשבון הבנק שלך בנקודה חמה ציבורית, למשל, והלוגו של הבנק הוגש מחיבור HTTP, בזמן שהמידע בפועל בדף הגיע דרך HTTPS, מישהו באותה רשת עשוי לראות הלוגו של הבנק שלך, אך לא כל מידע פרטי שמוגש לך באמצעות HTTPS. כאשר אתר מציג תוכן מעורב, תראה את המנעול עם שלט האזהרה הצהוב או את המנעול עם האיקס האדום. הנה ההבדל:

מנעול אזהרה צהוב זה מופיע כאשר התוכן המעורב כולל אלמנטים מוטבעים כמו תמונות. זה מאפשר לך לדעת שחלק מהתוכן מוגש באמצעות HTTP, אך סביר להניח שלא מדובר בתוכן המהווה סיכון אבטחה.

מנעול x אדום מופיע כאשר התוכן המעורב כולל תוכן מוטבע בסיכון גבוה, כמו JavaScript (תוכן בסיכון גבוה הוא כל דבר שיכול לשנות את הדף).

האיקס האדום הוא מה שאתה באמת רוצה לשים לב אליו. אם אתה נמצא ברשת לא מהימנה, סביר להניח שתרצה להימנע מגלישה באתרים עם מנעול האדום x המכילים גם תוכן רגיש. יש תוכן בסיכון גבוה שמוגש ב-HTTP, כלומר האקר עלול להחדיר JavaScript שעלול, למשל, לגנוב את הסיסמה שלך או את קובצי העוגיות שלך.

אז למה אני רואה משהו מלבד המנעול הירוק ב-Gmail?

התשובה די פשוטה: כשאתה טוען לראשונה - או טוען מחדש - את Gmail, אתה אמור לראות את המנעול הירוק. הכל ב-Gmail מוגש מחיבור HTTPS מאובטח (זו הייתה ברירת המחדלמאז מתישהו ינואר האחרון). עם זאת, כאשר אתה פותח מייל שכתוב ב-HTML, ואתה מאפשר ל-Gmail להציג תמונות מוטמעות, לעתים קרובות התמונות הללו ייטענו מאתר אחר שאינו משתמש ב-HTTPS. ברגע שאתה טוען מייל עם תמונות משובצות, והתמונות הללו מגיעות ב-HTTP, המנעול שלך ישתנה מהמנעול הירוק למנעול האזהרה הצהוב.

מכיוון ש-Gmail לא טוען מחדש את הדף כשאתה עובר בין הודעות דוא"ל לתיבות דואר נכנס, המנעול יישאר במצב תוכן מעורב עד שתטען מחדש את Gmail לחלוטין. ועכשיו, כשאנחנו יודעים קצת יותר על מחווני האבטחה, אנחנו יודעים שסביר להניח שזה לא אומר ש-Gmail לא מאובטח - רק שלא כל מה שאתה צופה מוצפן. (בשביל מה שזה שווה, אתה תמיד אמור להיות מסוגל לרענן את Gmail כדי לקבל בחזרה מנעול ירוק.)

לדברי איאן, עבריינים אפשריים אחרים (כלומר, סיבות שהמנעול שלך לא ירוק) כוללים תכונות Gmail Labs והרחבות שונות לדפדפן. צוות Gmail שואף לוודא שתכונות Labs הן 100% HTTPS, אך הן לא תמיד מושקות ללא תוכן מעורב. (אלה תכונות ניסיוניות, אחרי הכל.) לגבי הרחבות, ובכן - אלה בידיים שלך, וצוות Chrome לא יכול לשלוט אם הם מכניסים תוכן מעורב לאתרים שלך או לא.

אם אתה פשוט משתמש בג'ימייל וניל (כלומר, ללא התקנות תוספים או תכונות Labs מופעלות), בהחלט לא תראה מנעול x אדום ב-Gmail. אם כן - ובכן, אני לא בטוח מה יכולה להיות הסיבה. (איאן מצוות Chrome - אם למישהו שם מצוות Gmail יש הצעות למה זה עלול לקרות, כולנו אוזניים!)

איך להבין מה בדיוק לא מוגש ב-HTTPS

כטיפ בונוס אחרון: נחמד לדעת שלא כל מה בדף מוגש ב-HTTPS, אבל יהיה יותר מנחם לדעת בדיוקמַהאינו מאובטח. כדי לברר זאת, לחץ על לחצן האפשרויות, בחר כלים > כלי מפתחים ולאחר מכן לחץ על הכרטיסייה מסוף. לחץ על כפתור אזהרות ולאחר מכן בדוק מה יש שם.

במקרה שלמעלה, אני מקבל את האזהרה הזו:

הדף בכתובת https://mail.google.com/mail/u/0/?shva=1&zx=j68m1t-i2thtz#apps/k%26l הציג תוכן לא מאובטח מ

.

כפי שאתה יכול לראות, יש תמונה מוטבעת בדוא"ל מאתhttps://www.klwines.com/(K&Lהיא חנות היין האהובה עלי בלוס אנג'לס). זה לא יוצר שום סוג של בעיית אבטחה במקרה הזה, אבל זה מספיק כדי להפעיל אזהרת תוכן מעורב של מנעול צהוב של Gmail.

מקווה שזה עוזר!

אַהֲבָה,
Lifehacker

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe Now & Never Miss The Latest Tech Updates!

Enter your e-mail address and click the Subscribe button to receive great content and coupon codes for amazing discounts.

Don't Miss Out. Complete the subscription Now.