Nové prvky Firefoxu budou muset využívat šifrovaná spojení

Mozilla tento týden rozhodla, že vývojáři budoucích prvků Firefoxu zaměřených na web musejí splňovat určité standardy vyžadující šifrování veškerého přenosu dat z prohlížeče na server a zpět.

Nové prvky Firefoxu budou muset využívat šifrovaná spojení


„S okamžitou platností musejí být všechny nové prvky, které jsou vystaveny webu, omezeny na zabezpečené kontexty,“ napsal Anne van Kesteren, inženýr Mozilly, na blogu společnosti. „Prvkem [feature] se rozumí vše od rozšíření dosavadního IDL-definovaného objektu, nové CSS vlastnosti či nové http hlavičky odezvy po větší funkce, jako je WebVR.“

Zabezpečené kontexty, kterým se říká „minimální úroveň bezpečnosti“, jsou chystaným standardem W3C (World Wide Web Consortium), primárního orgánu pro webové standardy. Hlavním účelem zabezpečených kontextů (secure contexts) je podle jejich dokumentace: „Kód aplikace s přístupem k citlivým nebo soukromým datům [musí] být přenášen důvěrně přes ověřené kanály, které zaručují integritu dat.“

V praxi to znamená, že přenos musí být šifrován, aby bylo zabráněno potenciálním útokům typu „man-in-the-middle“, při nichž útočníci „odsávají“ nezabezpečený přenos mezi prohlížečem a serverem tím, že se postaví mezi odesílatele a příjemce a odposlouchávají.

Nadále bude nově jakýkoliv nově uvedený prvek pro Firefox, který využívá komunikaci prohlížeče a serveru, fungovat pouze na spojeních typu HTTPS. Starší prvky a/nebo technologie budou stále fungovat na nešifrovaných http linkách „na bázi případ od případu,“ píše van Kesteren, který zároveň slíbil, že Mozilla vývojářům poskytne nástroje k tomu, aby jim „ulehčila přechod k zabezpečeným kontextům.“

K tomuto kroku nedošlo z ničeho nic. Svoje záměry vyžadovat HTTPS oznámila Mozilla poprvé již v dubnu 2015. Jako první na programu tehdy bylo „stanovit datum, po němž budou všechny nové prvky přístupné pouze zabezpečeným webům,“ což se stalo právě teď. V této taktice není Mozilla osamocena. I další firmy, zejména Google, tlačí weby k tomu, aby přešly z http na HTTPS, již od roku 2014.

Zdroj: Computerworld.com


Úvodní foto: Computerworld




Komentáře