15 августа 2014
Mail.Ru включил защищенный протокол HTTPS на главной странице
Российский почтовый сервис Mail.Ru включил защищенный протокол HTTPS на главной странице. Теперь шифрование работает с первых шагов пользователя на портале. До этого HTTPS на главной странице был включен только для части пользователей, однако теперь используется для всех и по умолчанию, сообщили CNews в Mail.Ru Group.
Таким образом, теперь ни один запрос браузера к серверу не может быть перехвачен злоумышленником и применен в неблаговидных целях. При использовании HTTP, подразумевающего передачу данных в открытом виде, такая возможность потенциально есть, отметили в компании. Браузер будет отправлять данные по протоколу HTTPS, защищая запрос пользователя от перехвата, даже если попытаться вручную ввести «HTTP» вместо «HTTPS» в адресной строке или перейти на http://mail.ru из закладок, подчеркнули в Mail.Ru. Это реализовано с помощью технологии Strict Transport Security.
«Нам было важно реализовать HTTPS не только в “Почте”, но также на главной странице Mail.Ru, поскольку аудитории этих проектов пересекаются примерно на 70%. Так что это значимый шаг в области усиления защиты пользовательских данных, — заявила Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал». — Хочу подчеркнуть, что HTTPS нельзя отключить вручную. Это сделано, чтобы обеспечить высокий уровень защиты даже для тех, кто не умеет или не хочет заботиться о безопасности».
Протокол HTTPS работает не только в десктопной, но и в мобильной версии главной страницы Mail.Ru. Это сделано, чтобы обеспечить безопасность пользователей, подключающихся к публичному Wi-Fi со смартфонов и планшетов, поскольку точки публичного Wi-Fi-доступа в парке, метро или кафе гораздо более уязвимы к кибератакам, чем проводной интернет, указали в компании. По HTTPS-соединению также работают все почтовые приложения и мобильная версия «Почты Mail.Ru»: здесь оно тоже включено всегда и по умолчанию.
Использовать HTTPS-протокол сервисы Mail.Ru Group стали несколько лет назад — тогда он появился в «Почте Mail.Ru». Но сначала пользователь мог выключить шифрование в «Настройках» или ввести HTTP вместо HTTPS в адресной строке. Однако какое-то время назад использование незащищенного протокола в «Почте Mail.Ru» стало невозможно. И вот теперь аналогичный принцип реализован и на главной странице «Портала», рассказали в Mail.Ru.
Примечательно, что несколько месяцев назад была реализована поддержка трех новых способов защиты пользовательских данных — HTTP only cookie, Secure cookie и разделение сессий при работе с разными сервисами Mail.Ru. Кроме того, в апреле 2014 г. компания запустила программу поиска уязвимостей, в рамках которой хакеры со всего мира помогают тестировать безопасность сервисов на прочность.
