Дополнительный уровень защиты пользователей Mail.Ru
Mail.Ru стал первым крупным российским почтовым сервисом, включившим защищенный протокол HTTPS на главной странице. Теперь шифрование работает с первых шагов пользователя на портале, а также включено всегда и по умолчанию.
С момента захода на главную страницу портала Mail.Ru пользователь защищен от атак киберпреступников, поскольку весь трафик передается по защищенному протоколу HTTPS и, следовательно, шифруется. До этого HTTPS на главной странице был включен только для части пользователей. Однако теперь он используется для всех и по умолчанию. Таким образом, ни один запрос браузера к серверу не может быть перехвачен злоумышленником и использован в неблаговидных целях. При использовании HTTP, подразумевающего передачу данных в открытом виде, такая возможность потенциально есть.
Браузер будет отправлять данные по протоколу HTTPS, защищая запрос пользователя от перехвата, даже если попытаться вручную ввести «HTTP» вместо «HTTPS» в адресной строке или перейти на http://mail.ru из закладок. Это реализовано c помощью технологии Strict Transport Security.
«Нам было важно реализовать HTTPS не только в Почте, но также на главной странице Mail.Ru, поскольку аудитории этих проектов пересекаются примерно на 70%. Так что это значимый шаг в области усиления защиты пользовательских данных, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. — Хочу подчеркнуть, что HTTPS нельзя отключить вручную. Это сделано, чтобы обеспечить высокий уровень защиты даже для тех, кто не умеет или не хочет заботиться о безопасности».
Протокол HTTPS работает не только в десктопной, но и в мобильной версии главной страницы Mail.Ru. Это сделано, чтобы обеспечить безопасность пользователей, подключающихся к публичному Wi-Fi со смартфонов и планшетов, поскольку точки публичного Wi-Fi-доступа в парке, метро или кафе гораздо более уязвимы к кибератакам, чем проводной интернет. По HTTPS-соединению также работают все почтовые приложения и мобильная версия Почты Mail.Ru: здесь оно тоже включено всегда и по умолчанию.
Использовать HTTPS-протокол сервисы Mail.Ru Group стали несколько лет назад — тогда он появился в Почте Mail.Ru. Но сначала пользователь мог выключить шифрование в «Настройках» или ввести http вместо https в адресной строке. Однако какое-то время назад использование незащищенного протокола в Почте Mail.Ru стало невозможно. И вот теперь аналогичный принцип реализован и на главной странице Портала.
Мail.Ru Group планомерно работает над укреплением защиты сервисов. Например, несколько месяцев назад была реализована поддержка трех новых способов защиты пользовательских данных — HTTP only cookie, Secure cookie и разделение сессий при работе с разными сервисами Mail.Ru. Кроме того, в апреле 2014 года компания запустила программу поиска уязвимостей, в рамках которой хакеры со всего мира помогают тестировать безопасность сервисов на прочность. Многообразие способов защиты гарантирует безопасность и конфиденциальность данных пользователей.
Дмитрий Смирнов, dmitriy.smirnov@corp.mail.ru
Источник: Mail.Ru Group