首页
社区
课程
招聘
Mozilla计划不再支持非加密网页
发表于: 2015-5-14 08:53 1452

Mozilla计划不再支持非加密网页

2015-5-14 08:53
1452
新闻链接:http://www.seehand.com/news/667.html
新闻时间:2015.05.13
新闻正文:Mozilla做出了一项有争议的举动称,其将开始把Firefox浏览器的新功能限制于加密网站。

Mozilla正计划着正式将不采用安全SSL/TLS协议的网站逐步淘汰,该举措引起了网站开发人员之间的争议。

Firefox安全负责人Richard Barnes 在博客中写道:“今天我们正式宣告我们想要将非安全的HTTP淘汰掉。业内已有相当广泛的共识,HTTPS是网站的前进之路。”

HTTPS(HTTP Secure)是指,网站使用了网页标准的超文本传输协议(HTTP)并结合了SSL/TLS加密技术。

Barnes引述了最近各组织的声明,包括美国政府呼吁普及加密的使用;并且表示,Mozilla将开始限制新功能在未加密网站上的使用。

Barnes表示:“Mozilla承诺新开发工作将专注于安全网站,并开始移除针对非安全网站的功能。”

Barnes说,最关键一点在于确定一个日期,从该日期开始所有的功能将仅在加密的网站可用;其次,逐步淘汰不使用加密的浏览器功能,尤其是“给用户的安全和隐私带来风险的功能”。

Firefox通过各种努力支持加密网站的普及,例如支持Let’s Encrypt。Firefox去年11月开始赞助Let’s Encrypt项目,该组织的目标在于向任何域名的所有人提供免费TLS证书和管理工具。

然而,淘汰非加密网站可用的浏览器功能这一策略将面对重大障碍,主要是因为(如Barnes认同)这意味着许多网站将无法正常工作。

坏掉的网站

他写道:“将支持非安全网站的功能移除可能会导致某些网站‘坏掉’,因此我们必须监视这种破坏的程度并以安全利益去平衡它。”

该举措意味着给许多网站带来不便,因为其最终要求任何人均运行装有加密工具(尽管有Let’s Encrypt类的项目存在,但工具仍然很复杂)的网站或其他类型服务。该举措也意味着,例如,公司内部网站运行或测试的网页应用也将需要加密,以实现在Firefox中正常运行。

然而,一些开发人员从原则上就反对该举措,因为它将网站发布限制在那些有办法部署加密网站的人手里。

一位开发人员兼加密普及支持者Sven Slootweg表示,这似乎意味着与“开放的网络”运动背道而驰,而Mozilla正是其中杰出的倡导者。

他在博客中写道:“我相信该决定对开放的网络不利,强制引入TLS将在有金钱和方法购买证书(或很多证书)的人与没有金钱和方法的人之间造成不平衡……难道让所有人享受同样的功能,而不论经济状况或其他资质,不是‘开放的网络’的要点吗?”

‘开放的网络’

他进一步写道,正如最近包括微软和谷歌在内的主要公司的错误所显示,在当前涉及到的机制具有基本的弱点时,让开发人员转向普遍的网络加密是存在错误的。

Slootweg写道:“当前实践中部署TLS的方式存在基本的问题,该问题需要在全球部署TLS之前彻底解决。”

Mozilla争辩道,既然某些功能已经被限制,目前的讨论应当关注什么功能应被封堵。

“Firefox已经取消了非安全网站请求的摄像头、麦克风访问的永久权限,” Barnes写道,“现在也有限制关于非安全cookies范围的提议。”

他进一步写道,提议的逐步淘汰是打算“发送一条关于安全的信息” 。

Barnes写道:“该工作的目标是向网站开发社区发送一条信息告知他们需要变得安全。”

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//