Mozilla, som står bak nettleseren Firefox, har lenge jobbet for mer bruk av sikker overføring av innhold mellom webservere og nettlesere. Stiftelsen har som mål at den ikke-kryptere HTTP-protokollen i praksis blir faset ut til fordel for krypterte HTTPS (Hypertext Transfer Protocol Secure).
Denne uken kunngjorde Mozilla et nytt tiltak for å nå dette målet.
Umiddelbart
– Med umiddelbar virkning skal all ny funksjonalitet som er eksponert mot weben være forbeholdt sikre kontekster. Eksponert mot weben betyr at funksjonaliteten kan observeres fra en webside eller webserver, enten gjennom JavaScript, CSS, HTTP, medieformater, etc. Dette kan være alt fra et eksisterende IDL-definert [interface definition language, journ. anm.] objekt, en ny CSS-egenskap eller en ny HTTP responsheader, til støtte for ting som WebVR. Derimot vil sannsynligvis ikke et nytt CSS-fargenøkkelord være forbeholdt sikre kontekster, skriver Mozillas Anne van Kesteren i et blogginnlegg.
I praksis betyr dette at stort sett alt av nyheter som måtte komme i gjennom nye eller utvidede utgaver av de nevnte webteknologiene, vil kunne brukes på websider og i webapplikasjoner som leveres ukryptert over HTTP. I alle fall ikke dersom utgiverne også ønsker å støtte Firefox.
Denne nyheten bør ikke komme som noen overraskelse på webutviklere. Mozilla begynte å snakke om dette allerede i 2015.
Mulige unntak
Men det er ingen regel uten unntak, skriver van Kesteren. Dersom ny webfunksjonalitet allerede støttes i ikke-sikre kontekster av andre nettlesere, kan det være at Mozilla også vil tillate dette.
Det kan også gjøres unntak fra regelen dersom det kan demonstreres at kravet om sikker kontekst resulterer i at implementeringen fører til altfor høy kompleksitet.
Men Mozilla vurderer også å fjerne muligheten for å bruke deler av den eksisterende webfunksjonaliteten på websider som leveres via HTTP. Det gjelder funksjonalitet som anses som spesielt problematisk når det gjelder blant annet sikkerhet og personvern. I så fall vil disse funksjonene vurderes hver for seg.
Mozilla er ikke alene om å gjøre dette. Det er snart to år siden Google begynte å fjerne muligheten til å bruke enkelte kraftig kraftige programmeringsgrensesnitt på HTTP-leverte websider. Spesielt gjelder dette Geolocation API, som oppgir hvor brukerenheten befinner seg.
Svært mange nettsteder bruker i dag HTTPS. I tillegg til diverse pressmidler fra nettleserleverandørene, har gratistjenesten Let's Encrypt bidratt til dette, ved å gjøre det mye enklere for både store og små nettsteder å ta i bruk HTTPS.
Les også: Gleder seg over at mesteparten av webtrafikken nå er kryptert
