Chrome støtter ikke lenger ukryptert «geolocation»

Krever gradvis mer bruk av HTTPS.

Harald BrombachHarald BrombachNyhetsleder
3. mai 2016 - 10:57

Det kan være nyttig for et nettsted å vite omtrent hvor brukerne befinner seg, for å kunne vise brukeren mer relevant informasjon. For eksempel kan nettstedet til en butikkjede vise brukeren informasjon om den nærmeste butikken.

Men informasjon om hvor en person befinner seg, anses også som følsom. Spesielt dersom nøyaktigheten er høy. Derfor mener Google at det er uheldig at slik informasjon overføres i klartekst fra mange websider, noe som gjør den enkel å fange opp for angripere med tilgang til nettverket mellom brukeren og webserveren.

Krever HTTPS

Med Chrome 50, som kom allerede den 20. april, skrudde Google derfor av støtten for webteknologien Geolocation API over usikrede forbindelser, altså vanlig HTTP (Hypertext Transfer Protocol). Nettsteder som ønsker å bruke denne teknologien, må heretter derfor gjøre dette over en kryptert forbindelse, altså HTTPS.

Google flere ganger tidligere kunngjort disse planene, og i rundt seks måneder har selskapet varslet om disse planene i utviklerkonsollen i Chrome. Selskapet så likevel grunn til å gjenta budskapet i slutten av forrige uke. I kommentarene under innlegget går det tydelig fram at dette er noe langt fra alle har fått med seg, angivelig også store tjenester som Hulu.

Rema 1000 benytter Geolocation API i selskapets butikkoversikt. Dette funger fortsatt i Chrome siden nettstedet benytter HTTPS. Bildet viser dog samtykkedialogen i Firefox.
Geolocation API vil trolig ikke være den eneste som får slik behandling. I februar i fjor startet Google en diskusjon om hvilken annen funksjonalitet som heller ikke bør kunne brukes over HTTP. En oppdatert, men foreløpig oversikt finnes her.

Større plan

Det hele er en del av en større plan om å anse alt HTTP-basert innhold som usikkert, noe som gradvis vil bli gjort tydeligere for nettleserbrukerne.

Google er dog ikke alene om slike planer. Også Mozilla kunngjorde en tilsvarende intensjon i april i fjor. Men som kommentarene under denne kunngjøringen viser, er langt fra alle like overbeviste om at «HTTPS Everywhere» er veien å gå.

Også WWW-oppfinneren selv, Tim Berners-Lee, har kommet med innvendinger.

Andre jobber for å gjøre det enklere for nettsteder å ta i bruk HTTPS. Let's Encrypt-initiativet er et eksempel på dette, selv om andre har tilbudt grunnleggende sikkerhetssertifikater gratis i mange år allerede.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.