A HTTPS ismét erősödött: új Firefox funkciók kizárólag titkosításon keresztül

2018. márc. 21. | Pataki Tamás

A Mozilla januárban bejelentette, hogy az új webes funkciók csak akkor fognak a böngészőben megvalósulni, hogyha azok HTTPS-en keresztül fognak futni. Milyen szándék áll a döntés mögött a és mivel kell számolnia a honlapján az új funkciók és standardok bevezetésével kapcsolatban?

A mai honlapok már nem csupán a szörfözésre és a tartalmak megtekintésére szolgálnak. Lehetővé teszik például a kommunikációt chat formájában az ügyfélszolgálattal, online fizetést, értékelhetjük a tartózkodási helyünket – legyen az étterem, kocsma, hotel– vagy megtudhatjuk annak időjárás előrejelzését. A legtöbb ilyen funkció arra hivatott, hogy megkönnyítsék és egyszerűsítsék a honlappal való munkát, ugyanakkor a háttérben olyan érzékeny adatok is átfutnak az adott honlap szerverén, amelyeket védeni kell az esetleges adathalászoktól. Ebből kifolyólag a Firefox úgy döntött, hogy bevezeti az úgynevezett secure context feltételt.

A gyakorlatban ez azt jelenti, hogy minden új funkció, standard és webhelyelem a szerver kiszolgálója által titkosított formában kell hogy továbbítva legyen. Amennyiben ez nem teljesül, úgy az adott honlap vagy egy-egy elem nem lesz elérhető a felhasználó számára. Egyszerűen fogalmazva: az egész honlap HTTPS protokollal való lefedettsége szükséges. Ez alatt természetesen az olyan felhasználók előtt rejtett, de a kényelmüket biztosító technológiák is értendők, mint a JavaScript, CSS vagy HTTP protokoll./p>

Kivétel erősíti a szabályt, ez ebben az esetben is érvényes, ugyanis ha az adott webelemet természeténél fogva nem vagy csak nehezen lehet titkosítani, úgy az adott elem mentességet kaphat. Egyénileg lesznek elbírálva például a színessel írt kulcsszavak. Ha a HTTP használatát hasonló esetekben nem vitatják, úgy azok titkosítását se szükséges bevezetni. Amennyiben a már bevezetett technológiára nem érvényes ez az intézkedés, úgy nem kötelező a HTTPS-re való átirányítás. Ha egy nem biztonságos elemet már elfogadtak más böngészők, úgy a Mozilla is elfogja fogadni.

Több mint kézenfekvő a 100%-os titkosítás a honlapokon, védi a legfontosabb internetes kommunikációt a felhasználó és a honlap között. Ezenfelül jól tükrözi azt a globális online törekvést, hogy biztonságosabbá tegyék az internetet és kivonják a forgalomból az elavult HTTP protokollt. Végezetül érdemes megjegyezte, hogy nem a Mozilla az első, amely hasonló lépést tesz: a Chrome már tavaly júliusban bejelentette a kötelező "restrictive conntexts"-et, illetve hogy korlátozásokat vezetnek be az SSL-t nem használó honlapok ellen.

Az új intézkedés által érintett elemek pontos listája megtalálható itt.

Frissítve 19.2.: 

A Mozilla nemrég mutatta be a HTTPS követelményt az Application Cache-hez, amely által a honlapok offline módban is működni fognak, felgyorsul a betöltésük így a kiszolgáló is tehermentesül.


Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu