本月初微软发布Microsoft Eege 98正式版,在这个新版本里微软在安全性方面增加了一些新措施,用来防止潜在的零日漏洞遭到利用。
默认情况下所有HTTPS协议加载的网站都会在启用增强安全性,然后也会在地址栏前显示“已增强安全性”,这实际上与Google Chrome此前对HTTPS协议网站标注的“安全”非常类似。
当初谷歌为推广HTTPS协议使用Chrome优待HTTPS网站,当网站使用HTTPS协议时,地址栏会显示“安全”,如果采用HTTP协议则显示“不安全”,如果采用混合显示即HTTPS协议下加载HTTP内容则不显示安全字样。
后来遭到批评后谷歌重新将地址栏安全字样删除,现在默认情况下重新变成锁标志,但如果访问HTTP网站的话仍然还会显示不安全。
为什么微软和谷歌要打一架才行:
当初Chrome添加安全字样遭到广泛批评,原因是HTTPS协议仅仅只是加密协议,任何网站都可以部署HTTPS协议,当然也包括钓鱼网站,如果用户访问钓鱼网站Chrome还是显示安全岂不是更容易让用户遭到诱骗?
当然站在谷歌角度来说安全只是说明此网站采用加密协议进行连接,不代表网站内容没有问题,然而多数用户哪知道地址栏显示的安全和网站内容是否安全有什么区别,谷歌这样做等于拿自己的名声为钓鱼网站背书。
当时连Mozilla都遭到批评,因为Mozilla旗下ISRG的项目Let’s Encrypt为所有网站提供免费SSL证书,钓鱼网站也部署证书更方便了。随后Mozilla回应称他们没有义务校验网站的安全性。
后来谷歌似乎也意识到不妥,于是Chrome又将HTTPS的安全字样删除重新变成锁标志,万万没想到Microsoft Edge现在也出现类似的情况,在地址栏显示“已增强安全性”,已增强安全性和安全有什么区别对非专业用户来说压根没区别,因此还是容易让非专业用户陷入钓鱼陷阱。
所以蓝点网估计微软很快应该会取消这样的文字显示,不然后面肯定会有很多安全人士批评这种做法,目前蓝点网搜索还没看到批评的声音,不知道是不是Edge用户量不算太多所以还没引起安全人士的关注。
无奖竞猜:微软什么时候会取消文字显示? A:1个月内 B:3个月内 C:6个月内
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/240445.html