Google maakt webformulieren binnenkort een stukje veiliger. Met deze nieuwe stap beschermt Google de informatie van mensen wanneer zij proberen hun gegevens in te sturen via onveilige formulieren. Chrome geeft een waarschuwing weer bij formulieren die op een veilige HTTPS-pagina staan, maar niet veilig worden ingezonden.
Details die verzonden worden door de zogenaamde ‘mixed forms’ zijn mogelijk zichtbaar voor lurkers. Zij kunnen de informatie inzien en mogelijk veranderen. Tot nu toe gaf Chrome deze mixed forms alleen aan door het icoon met het slotje (dat normaal aangeeft dat je verbinding veilig is) te verwijderen uit de adresbalk.
Het verwijderen van het slotje alleen bleek niet voldoende om gebruikers effectief te waarschuwen. “We zagen dat gebruikers deze ervaring onduidelijk vonden en het maakte niet goed duidelijk welke risico’s verbonden zijn aan het insturen van data via onveilige formulieren”, verklaart Shweta Panditrao (lid van het Chrome beveiligingsteam) in een blog.
Wanneer je binnenkort begint met het invullen van details in een mixed form, verschijnt er een waarschuwing die je vertelt dat het formulier niet veilig is. Als je het formulier toch probeert in te zenden, krijg je een volledige pagina te zien met een waarschuwing die het potentiële risico uitlegt. Je krijgt vervolgens de vraag of je toch wilt doorgaan.
Onderdeel van een groter plan
Naast het weergeven van een waarschuwing, schakelt Chrome ook de autofill-functie uit voor mixed forms. Hierdoor wordt de pagina niet automatisch gevuld met mogelijk gevoelige of privé-informatie. Als een mixed form vraagt om logingegevens, blijft het nog wel mogelijk om de password manager van Chrome te gebruiken. Hierdoor kunnen gebruikers unieke wachtwoorden gebruiken. Unieke wachtwoorden zijn veiliger dan steeds hetzelfde wachtwoord gebruiken. Dat geldt des te meer wanneer een formulier niet veilig is.
De nieuwe beveiligingsfunctie van Chrome maakt deel uit van een groter plan dat Google vorig jaar bekendmaakte. Google is van plan om HTTP-subresources op HTTPS-pagina’s standaard te blokkeren in Chrome. De uitvoer gebeurt geleidelijk. Als onderdeel ervan zorgde Google er eerder dit jaar al voor dat riskante downloads automatisch geblokkeerd werden. Het aanpakken van onveilige formulieren is een nieuwe stap in een veiligere richting.