Aktualizacje algorytmów
Co zmieniło się w przeglądarkach, protokołach i standardach bezpieczeństwa. Bez zbędnego szumu.
Termin "aktualizacja algorytmu" kojarzy się z Google Search. W kontekście bezpieczeństwa stron ma szersze znaczenie. Obejmuje zmiany w silnikach przeglądarek, aktualizacje bibliotek kryptograficznych, nowe wersje protokołów sieciowych i zmiany w zachowaniu serwerów DNS.
Każda taka zmiana może wpłynąć na to, jak Twoja strona jest oceniana przez przeglądarki, skanery bezpieczeństwa i wyszukiwarki. Śledzimy te zmiany i tłumaczymy ich znaczenie w praktycznym kontekście.
Najważniejsze aktualizacje
Chrome 126: ostrzeżenia dla słabych certyfikatów SHA-1
Chrome 126 rozszerza blokowanie połączeń podpisanych algorytmem SHA-1 na certyfikaty pośrednie, nie tylko końcowe. Strony korzystające z przestarzałych łańcuchów certyfikatów mogą wyświetlać ostrzeżenia bezpieczeństwa w nowszych wersjach przeglądarki. Sprawdź łańcuch certyfikatów w narzędziu SSL Labs.
Firefox 127: domyślne blokowanie cookies bez SameSite
Firefox 127 zmienia domyślne zachowanie dla cookies bez jawnie ustawionego atrybutu SameSite. Wartość domyślna to teraz Lax w kontekstach cross-site, co może wpłynąć na formularze logowania i mechanizmy OAuth na stronach bez odpowiedniej konfiguracji.
Google Search: rozszerzone sygnały bezpieczeństwa w Core Web Vitals
Google rozszerzyło zestaw sygnałów technicznych branych pod uwagę przy ocenie stron. Bezpieczeństwo nagłówków HTTP, takich jak X-Content-Type-Options, X-Frame-Options i Referrer-Policy, jest teraz częścią szerszej oceny technicznej strony w Search Console. Nie jest to bezpośredni czynnik rankingowy, ale wpływa na ocenę jakości strony.
RFC 9652: aktualizacja specyfikacji nagłówka Permissions-Policy
Nowy RFC aktualizuje składnię nagłówka Permissions-Policy (dawniej Feature-Policy). Strony używające starszej składni mogą napotykać ostrzeżenia w konsolach deweloperskich przeglądarek. Migracja do nowej składni jest prosta, ale wymaga przeglądu konfiguracji serwera.
Chrome 124: blokowanie prywatnych adresów IP w żądaniach cross-origin
Specyfikacja Private Network Access jest teraz egzekwowana przez Chrome 124 dla żądań do adresów prywatnych (192.168.x.x, 10.x.x.x, localhost) z publicznych stron. Dotyczy głównie paneli administracyjnych routerów i urządzeń IoT dostępnych przez przeglądarkę. Strony korporacyjne z intranetowymi zasobami wymagają przeglądu konfiguracji CORS.
OpenSSL 3.4: deprecjacja algorytmów MD5 i RC4 w kontekście TLS
OpenSSL 3.4 usuwa domyślną obsługę algorytmów MD5 i RC4 w konfiguracji TLS. Serwery oparte na starszych dystrybucjach Linuxa z OpenSSL 1.x mogą wymagać aktualizacji. Dotyczy to w szczególności serwerów na CentOS 7 i Debianie Buster, które nie otrzymują już aktualizacji zabezpieczeń.
Jak śledzimy zmiany
Monitorujemy dzienniki zmian przeglądarek Chrome, Firefox, Safari i Edge, dokumenty robocze IETF, ogłoszenia W3C oraz raporty bezpieczeństwa OpenSSL i LibreSSL. Każda zmiana jest oceniana pod kątem praktycznego wpływu na typowe strony internetowe.
Nie publikujemy każdej drobnej aktualizacji. Skupiamy się na zmianach, które mogą wymagać działania ze strony właściciela strony lub webmastera w ciągu najbliższych miesięcy.