VN
VN
Giới Thiệu
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Tin tức
Công nghệ
Công ty
Google

Động Thái Đẩy Mạnh HTTPS Của Chrome Gây Phản Ứng Từ Giới Phát Triển Về Mạng Nội Bộ Và Tính Độc Lập

Nhóm Cộng đồng BigGo
Động Thái Đẩy Mạnh HTTPS Của Chrome Gây Phản Ứng Từ Giới Phát Triển Về Mạng Nội Bộ Và Tính Độc Lập

Cộng đồng công nghệ đang xôn xao với những phản ứng trái chiều trước thông báo của Google rằng Chrome sẽ bật tính năng Luôn Sử Dụng Kết Nối Bảo Mật theo mặc định bắt đầu từ tháng 10 năm 2026. Trong khi nhiều chuyên gia bảo mật hoan nghênh động thái này như một biện pháp bảo vệ cần thiết chống lại các cuộc tấn công trung gian, một bộ phận đáng kể các nhà phát triển và những người ủng hộ quyền riêng tư đang phản đối, viện dẫn những lo ngại về chức năng mạng nội bộ, sự kiểm soát của tập đoàn và sự xói mòn của việc xuất bản web độc lập.

Nhu Cầu Bảo Mật Đối Mặt Với Thực Tế Ứng Dụng

Quyết định của Google bắt nguồn từ những lo ngại bảo mật chính đáng - các kết nối HTTP không được mã hóa vẫn dễ bị tấn công chiếm quyền điều khiển, nơi kẻ tấn công có thể chèn nội dung độc hại hoặc chuyển hướng người dùng đến các tài nguyên bị xâm phạm. Dữ liệu của công ty cho thấy việc áp dụng HTTPS đã chững lại ở mức khoảng 95-99% kể từ năm 2020, khiến hàng triệu lượt duyệt web có nguy cơ bị phơi nhiễm. Tuy nhiên, cuộc thảo luận trong cộng đồng tiết lộ những thách thức thực tế đáng kể mà cách tiếp cận bao trùm này tạo ra.

Nhiều nhà phát triển chỉ ra các môi trường doanh nghiệp nơi việc kiểm tra HTTPS đã diễn ra thông qua các chứng chỉ do nhà tuyển dụng cài đặt, khiến các cảnh báo bổ sung trở nên giống như một vở kịch bảo mật. Như một bình luận viên đã nhận xét về việc duyệt web tại nơi làm việc, Nếu bạn lo lắng về blog nhỏ của tôi, bạn nên lo lắng rằng chủ lao động của bạn có thể kiểm tra tất cả lưu lượng HTTPS của bạn. Điều này làm nổi bật sự trớ trêu của việc bảo vệ người dùng khỏi các mối đe dọa bên ngoài về lý thuyết trong khi bỏ qua chính việc giám sát đang diễn ra rất thực tế trong các mạng lưới của công ty.

Những Vấn Đề Với Mạng Nội Bộ Và Khó Khăn Trong Phát Triển

Mối quan tâm nhất quán nhất nổi lên từ các cuộc thảo luận trong cộng đồng xoay quanh mạng nội bộ và môi trường phát triển. Việc triển khai của Chrome sẽ loại trừ các trang web riêng tư bao gồm địa chỉ RFC 1918 (như 192.168.x.x), tên máy chủ một nhãn và các tên miền .local, nhưng các nhà phát triển lo ngại điều này là chưa đủ.

Ý tưởng hay đấy... nhưng tôi hy vọng rằng localhost/127.0.0.1 sẽ được loại trừ cho các nhà phát triển/người kiểm thử.

Tâm trạng này vang vọng xuyên suốt các bình luận, với các nhà phát triển lo ngại về sự gián đoạn đối với quy trình làm việc của họ. Cộng đồng Linux dường như bị ảnh hưởng đặc biệt - dữ liệu của Chrome cho thấy việc sử dụng HTTPS trên Linux nhảy từ 84% lên 97% khi loại trừ các trang web riêng tư, cho thấy sự phụ thuộc nặng nề vào các dịch vụ HTTP cục bộ cho việc phát triển, phòng thí nghiệm tại gia và cấu hình thiết bị mạng.

Thách thức nằm ở việc quản lý chứng chỉ cho các tài nguyên nội bộ. Các tổ chức cấp chứng chỉ công cộng sẽ không cấp chứng chỉ cho các tên máy chủ không duy nhất, khiến các nhà phát triển phải tìm các giải pháp thay thế phức tạp như chạy các CA riêng hoặc mua tên miền công khai cụ thể cho mục đích sử dụng nội bộ. Cả hai giải pháp đều tạo ra gánh nặng hành chính mà nhiều người vận hành quy mô nhỏ thấy phiền hà.

Tỷ lệ áp dụng HTTPS theo nền tảng (Bao gồm cả các trang web riêng tư):

  • Windows: 95%
  • Mac: Hơn 99%
  • Android: Hơn 99%
  • Linux: 84%

Tỷ lệ áp dụng HTTPS chỉ cho các trang web công khai:

  • Windows: 98%
  • Mac: Hơn 99%
  • Android: Hơn 99%
  • Linux: 97%
Biểu đồ cho thấy xu hướng thị phần của các hệ điều hành, nhấn mạnh tầm quan trọng của nhiều nền tảng khác nhau đối với các nhà phát triển
Biểu đồ cho thấy xu hướng thị phần của các hệ điều hành, nhấn mạnh tầm quan trọng của nhiều nền tảng khác nhau đối với các nhà phát triển

Lập Luận Về Tính Độc Lập Và Sự Phụ Thuộc Vào Bên Thứ Ba

Một nhóm thiểu số nhiệt thành lập luận rằng HTTPS bắt buộc đại diện cho một bước tiến khác hướng tới việc tập trung hóa quyền kiểm soát web. Những người bình luận này xem các yêu cầu về HTTPS như một sự ép buộc phụ thuộc vào các tổ chức cấp chứng chỉ và các nhà đăng ký tên miền, có khả năng đe dọa việc xuất bản độc lập.

Mình chạy blog của mình bằng HTTP/1.1 không mã hóa chỉ để chứng minh rằng chúng ta không phải phụ thuộc vào bên thứ ba để xuất bản nội dung trực tuyến, một nhà phát triển tuyên bố. Quan điểm này xem web như một thứ ngày càng bị kiểm soát bởi các lợi ích tập đoàn, với các yêu cầu HTTPS thêm một lớp cơ sở hạ tầng khác mà các nhà xuất bản nhỏ phải dựa vào.

Mối quan tâm mở rộng ra ngoài những phản đối mang tính triết học đến những lo sợ thực tế về độ tin cậy của tổ chức cấp chứng chỉ. Những người bình luận lo ngại về các kịch bản nơi Let's Encrypt biến mất, các tập đoàn tổ chức cấp chứng chỉ hợp nhất, và sau đó Google quyết định họ cũng muốn xác thực từ xa cho sự tin cậy hai chiều. Mặc dù đây có vẻ là những mối lo xa vời, chúng phản ánh sự lo lắng chân thực về sự tập trung hóa ngày càng tăng của web.

Thử Thách Về Kiểm Thử Và Hệ Thống Kế Thừa

Các nhà phát triển đã bắt đầu chia sẻ các giải pháp thay thế và chiến lược kiểm thử cho thay đổi sắp tới. Các trang web như http://http.rip/http://perdu.com đang được đề xuất làm điểm cuối kiểm tra HTTP, trong khi các tùy chọn truyền thống như http://neverssl.com/ đã thích ứng bằng cách thêm HTTPS với các chuyển hướng JavaScript để duy trì mục đích vượt qua cổng bắt truy cập của chúng.

Các hệ thống kế thừa trình bày một thách thức khác. Những người bình luận lưu ý rằng các trang web lớn như Slackware.com vẫn hoạt động mà không có HTTPS, và nhiều công cụ và bảng điều khiển nội bộ chưa bao giờ được thiết kế với mã hóa trong tâm trí. Sự chuyển đổi có thể buộc phải cập nhật các hệ thống vốn đã hoạt động hoàn hảo trong các môi trường biệt lập trong nhiều năm.

Cộng đồng đã xác định được một số trang web HTTP đáng chú ý vẫn tồn tại, bao gồm Slackware.com, vẫn là một trong những trang web hợp pháp lớn nhất phục vụ lưu lượng truy cập không được mã hóa. Những trường hợp này minh họa rằng không phải tất cả việc sử dụng HTTP đều thể hiện sự bất cẩn về bảo mật - đôi khi nó phản ánh các ràng buộc thực tế hoặc các lựa chọn mang tính triết học.

Các Nguồn Tài Nguyên Kiểm Thử Được Cộng Đồng Đề Cập:

Hướng Tới Tương Lai

Mặc dù động thái đẩy mạnh HTTPS của Google giải quyết những lo ngại bảo mật chính đáng, cuộc thảo luận trong cộng đồng tiết lộ một thực tế phức tạp hơn. Sự căng thẳng giữa sự tiện lợi của bảo mật và tính độc lập kỹ thuật tiếp tục định hình cách các nhà phát triển phản ứng với những thay đổi ở cấp nền tảng. Như một bình luận viên đã tóm tắt tình thế tiến thoái lưỡng nan, Ngay cả một ý tưởng tốt cũng có khả năng trở nên rất tệ dưới bàn tay của các tập đoàn không bị kiểm soát.

Sự chuyển đổi sắp tới có khả năng sẽ đẩy nhanh việc áp dụng HTTPS trong khi buộc phải có những cuộc trò chuyện khó khăn về quản trị web, quy trình làm việc phát triển và những sự đánh đổi nào chúng ta sẵn sàng chấp nhận để đổi lấy bảo mật. Điều rõ ràng từ phản ứng của cộng đồng là không có giải pháp đơn lẻ nào thỏa mãn tất cả các trường hợp sử dụng, và con đường hướng tới một web bảo mật hơn phải dung hòa được các nhu cầu đa dạng của người dùng.

Tham khảo: HTTPS by default

Tin tức liên quan