12.05.2017 в 12:20

Первый браузер, предупреждающий о «прослушке» трафика

Речь идет об угрозе перехвата трафика с помощью установки сомнительных сертификатов безопасности в систему пользователя. Звучит сложно (а в нашей истории на Хабрахабре еще сложнее), но здесь мы расскажем об этой угрозе и нашем решении простыми словами. Это важно, потому что более 400 тысяч пользователей браузера уже живут с «прослушкой» трафика.

Замочек

Начнем с начала. Что означает замочек в адресной строке (т.е. наличие сертификата безопасности у сайта)? Это не гарантия безопасности и уж тем более не признак надежности сайта. Получить его может абсолютно любой ресурс, в том числе мошеннический. Но замочек решает две другие важные задачи.

Прежде всего, это признак того, что все передаваемые между вами и сайтом данные зашифрованы. Если их кто-то перехватит, то ваши фотографии, сообщения, номера банковских карт все равно останутся в тайне, потому что без ключа их не расшифровать.

Злоумышленник может попытаться получить доступ к зашифрованным данным иначе. Он может стать посредником между вами и сайтом банка или социальной сети. И здесь нас спасет вторая функция сертификатов безопасности — замочек подтверждает, что браузер обменивается данными с сайтом напрямую. А если это не так, то любой современный браузер покажет предупреждение.

Подмена сертификата

Но у злоумышленников есть возможность обмануть любой современный браузер. Дело в том, что надежность сертификата браузеры определяют с помощью операционной системы. Именно в ней хранятся данные, которые используются для проверки сертификата сайта.

К сожалению, любая вредоносная программа может тайно внести изменения в эти данные, и браузеры начнут считать сертификат мошенника надежным. Ровно это и происходит сейчас у сотен тысяч пользователей Windows, которые видят в браузерах закрытые замочки, а по факту данные уходят сторонним лицам.

Решение в Яндекс.Браузере

Что мы сделали? Теперь Яндекс.Браузер для Windows не слепо доверяет операционной системе, но и использует собственную проверку сертификатов на надежность, которая защищена от внешнего вмешательства. Если проверка не пройдена, то мы честно сообщаем пользователям о потенциальном риске.

Выглядит это следующим образом. У всех HTTPS-сайтов замочек отображается открытым, и после клика можно понять причину.

Но если вы загружаете сайт банка, социальной сети, платежной или поисковой систем (т.е. ресурсы, которые часто становятся целью мошенников), то Яндекс.Браузер покажет полноценное предупреждение с полным описанием.

Новые предупреждения уже доступны всем пользователям Яндекс.Браузера для Windows.

Источник новости: yandex.ru/blog/yandexbrowser

Теги: Яндекс.Браузер

285 просмотров

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 9062 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов