El
equipo de seguridad de Chrome quiere que todo el
tráfico HTTP sea
marcado como no seguro, ya que considera que no provee seguridad a los
datos. Su plan es que para 2015 esta transición esté plenamente
implementada.
"Todos necesitamos que la comunicación de datos en la web sea segura
(privada, autenticada, no manipulada). Cuando no hay seguridad para los
datos, los agentes de usuario (UA) deberían mostrarlo explícitamente,
para que los usuarios puedan tomar decisiones basadas en la información
acerca de cómo interactuar con un origen", dice el comunicado publicado en el sitio de The Chromium Projects.
Según explican, hay tres estados básicos de orígenes TLS:
- Seguro: HTTPS válido, otros orígenes como (*, localhost, *)
- Dudoso: HTTPS válido pero con contenido mixto, HTTPS válido con errores menores en TLS
- No seguro: HTTPS roto, HTTP
Entonces, la idea detrás de este anuncio persigue un futuro en el que, a
largo plazo, los orígenes seguros sean los más frecuentes, de forma
que puedan dejarse desmarcados y no haga falta distinguirlos con ningún
símbolo, y que solo se deba señalar los orígenes no seguros.
Básicamente, lo contrario a lo que sucede en la actualidad, ya que vemos
el distintivo de un sitio que utiliza HTTPS, pero no vemos nada
distintivo cuando se trata de HTTP.
"Sabemos que la gente generalmente no percibe la ausencia de una
señal de advertencia. Sin embargo, la única situación en la que los
navegadores web no advierten a los usuarios es precisamente cuando no
hay posibilidad de seguridad: cuando el origen es transportado vía HTTP", dice el comunicado.
Sin dudas, es una idea interesante que se suma a otras, como por ejemplo, la decisión de Google de priorizar sitios seguros en las búsquedas.
Fuente: We Live Security
