Chrome เปลี่ยนนโยบาย หากผู้ใช้ไม่พิมพ์โปรโตคอลจะถือว่าเป็น HTTPS เสมอ

by lew
23 March 2021 - 17:26

Chrome ประกาศเปลี่ยนนโยบายตั้งแต่เวอร์ชั่น 90 (ปัจจุบันเป็นเบต้า) ว่าหากผู้ใช้พิมพ์เฉพาะโดเมน จะถือว่าผู้ใช้กำลังเข้าเว็บแบบ HTTPS เสมอ เบราว์เซอร์จะไม่พยายามเข้า HTTP ที่ไม่เข้ารหัสเป็นค่าเริ่มต้นอีกต่อไป

ก่อนหน้านี้หากผู้ใช้ไม่ระบุโปรโตคอล Chrome จะเชื่อมต่อไปยังเซิร์ฟเวอร์แบบ HTTP ที่ไม่เข้ารหัสยกเว้นว่าตัวเว็บจะพยายามแจ้งให้เบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอด้วยมาตรฐาน HSTS ขณะที่เว็บจำนวนมากที่ให้บริการเฉพาะ HTTPS ก็มักเปิดเซิร์ฟเวอร์ HTTP เอาไว้สำหรับ redirect ไปยัง HTTPS อยู่ดี กระบวนการนี้มีปัญหาหลายอย่าง ทั้งในแง่ประสบการณ์ของผู้ใช้ที่จะเห็นเว็บช้าลงเพราะโดน redirect ไปมา และบางทีมีข้อมูลสำคัญถูกส่งต่อทาง HTTP โดยไม่ตั้งใจทำให้คนร้ายที่ดักฟังอยู่เห็นข้อมูลได้

แนวทางใหม่ของ Chrome จะพยายามเชื่อมต่อด้วย HTTPS ก่อนแต่หากเชื่อมต่อไม่ได้จึงค่อยพยายามเชื่อมต่อ HTTP อีกครั้ง

แนวทางนี้มีผลทั้ง Chrome Desktop และ Chrome for Android ในเวอร์ชั่น 90 ที่กำลังจะออก ส่วน Chrome on iOS จะเปิดฟีเจอร์นี้ภายหลัง

ที่มา - Chromium Blog

Blognone Jobs Premium