ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > Chrome በ HTTPS ገጾች ላይ የኤችቲቲፒ መርጃዎችን ማገድ እና የይለፍ ቃላትን ጥንካሬ መፈተሽ ይጀምራል

Chrome በ HTTPS ገጾች ላይ የኤችቲቲፒ መርጃዎችን ማገድ እና የይለፍ ቃላትን ጥንካሬ መፈተሽ ይጀምራል

በጉግል መፈለግ .едупредила በኤችቲቲፒኤስ በኩል በተከፈቱ ገጾች ላይ የተደባለቀ ይዘትን የማስኬድ አቀራረብን ስለመቀየር። ከዚህ ቀደም በኤችቲቲፒኤስ በኩል በተከፈቱ ገፆች ላይ ያለ ምስጠራ (በ http:// ፕሮቶኮል) የተጫኑ አካላት ካሉ ልዩ አመልካች ታይቷል። ለወደፊቱ, በነባሪነት የእንደዚህ አይነት ሀብቶችን ጭነት ለማገድ ተወስኗል. ስለዚህ፣ በ"https://" በኩል የተከፈቱ ገፆች በአስተማማኝ የግንኙነት ቻናል የወረዱ ግብአቶችን ብቻ እንዲይዙ ዋስትና ይሆናቸዋል።

በአሁኑ ጊዜ ከ90% በላይ ገፆች የተከፈቱት በChrome ተጠቃሚዎች HTTPS መሆኑን ነው። ያለ ማመሳጠር የተጫኑ ማስገቢያዎች መኖራቸው የግንኙነት ቻናል ላይ ቁጥጥር ካለ (ለምሳሌ በክፍት ዋይ ፋይ ሲገናኙ) ያልተጠበቀ ይዘትን በማስተካከል የደህንነት ስጋቶችን ይፈጥራል። የተቀላቀለው የይዘት አመልካች የገጹን ደህንነት ግልጽ የሆነ ግምገማ ስለማይሰጥ ለተጠቃሚው ውጤታማ ያልሆነ እና አሳሳች ሆኖ ተገኝቷል።

በአሁኑ ጊዜ በጣም አደገኛ የሆኑት እንደ ስክሪፕቶች እና iframes ያሉ የተቀላቀሉ ይዘቶች ቀድሞውኑ በነባሪነት ታግደዋል፣ ነገር ግን ምስሎች፣ ኦዲዮ ፋይሎች እና ቪዲዮዎች አሁንም በ http:// በኩል ሊወርዱ ይችላሉ። በምስል ማጭበርበር አንድ አጥቂ የተጠቃሚን መከታተያ ኩኪዎችን በመተካት በምስል ፕሮሰሰር ውስጥ ያሉ ተጋላጭነቶችን ለመጠቀም መሞከር ወይም በምስሉ ላይ የቀረበውን መረጃ በመተካት የውሸት ስራ መስራት ይችላል።

የማገጃው መግቢያ በበርካታ ደረጃዎች የተከፈለ ነው. ለዲሴምበር 79 የታቀደው Chrome 10 ለተወሰኑ ጣቢያዎች ማገድን እንዲያሰናክሉ የሚያስችልዎትን አዲስ ቅንብር ያሳያል። ይህ ቅንብር እንደ ስክሪፕቶች እና iframes ባሉ የተቀላቀሉ ይዘቶች ላይ ይተገበራል እና ከዚህ ቀደም እገዳን ለማሰናከል የቀረበውን አመልካች በመተካት የመቆለፊያ ምልክቱን ሲጫኑ በሚወርድበት ምናሌ በኩል ይጠራል።

Chrome በ HTTPS ገጾች ላይ የኤችቲቲፒ መርጃዎችን ማገድ እና የይለፍ ቃላትን ጥንካሬ መፈተሽ ይጀምራል

በፌብሩዋሪ 80 የሚጠበቀው Chrome 4 ለድምጽ እና ቪዲዮ ፋይሎች ለስላሳ የማገጃ ዘዴ ይጠቀማል፣ ይህም የ http:// ሊንኮችን በ https:// በራስ-ሰር መተካትን ያሳያል፣ ይህ ደግሞ ችግር ያለበት ሃብቱ በኤችቲቲፒኤስ በኩል ተደራሽ ከሆነ ተግባራዊነቱን ይጠብቃል . ምስሎች ሳይቀየሩ መጫኑን ይቀጥላሉ፣ ነገር ግን በ http:// ከወረዱ፣ https:// ገጾቹ ለጠቅላላው ገጽ ደህንነቱ ያልተጠበቀ የግንኙነት አመልካች ያሳያሉ። ወደ https በራስ ሰር ለመቀየር ወይም ምስሎችን ለማገድ፣ የጣቢያ ገንቢዎች የCSP ንብረቶችን ማሻሻያ-ደህንነታቸው ያልተጠበቀ-ጥያቄዎችን እና ሁሉንም-ድብልቅ-ይዘቶችን ማገድ ይችላሉ። Chrome 81፣ ለመጋቢት 17 መርሐግብር ተይዞለታል፣ ለተቀላቀሉ ምስሎች ከ http:// ወደ https:// በራስ ያርማል።

Chrome በ HTTPS ገጾች ላይ የኤችቲቲፒ መርጃዎችን ማገድ እና የይለፍ ቃላትን ጥንካሬ መፈተሽ ይጀምራል

በተጨማሪም, Google አስታውቋል ከቀጣዮቹ የChome አሳሽ የአዲሱ የይለፍ ቃል ፍተሻ አካል ወደ አንዱ ስለመዋሃድ ከዚህ ቀደም በማደግ ላይውጫዊ መደመር. ውህደት ተጠቃሚው የሚጠቀምባቸውን የይለፍ ቃላት አስተማማኝነት ለመተንተን በመደበኛው የChrome የይለፍ ቃል አስተዳዳሪ ውስጥ እንዲታይ ያደርጋል። ወደ የትኛውም ድረ-ገጽ ለመግባት ሲሞክሩ፣ መግቢያዎ እና የይለፍ ቃልዎ ከተበላሹ አካውንቶች የውሂብ ጎታ ጋር ይጣራሉ፣ ችግሮች ከታዩ ማስጠንቀቂያ ይታያል። ቼኩ የተፈፀመው ከ4 ቢሊየን በላይ የተጠለፉ ሂሳቦችን በሚሸፍን የመረጃ ቋት ላይ ሲሆን በተለቀቁ የተጠቃሚ ዳታቤዝ እንደ "abc123" ያሉ ቀላል የይለፍ ቃሎችን ለመጠቀም ከሞከሩ ማስጠንቀቂያም ይታያል ስታቲስቲክስ ጉግል 23% አሜሪካውያን ተመሳሳይ የይለፍ ቃሎችን ይጠቀማሉ) ወይም ተመሳሳይ የይለፍ ቃል በብዙ ጣቢያዎች ላይ ሲጠቀሙ።

ሚስጥራዊነትን ለመጠበቅ ውጫዊ ኤፒአይን ሲደርሱ የመግቢያ እና የይለፍ ቃል የመጀመሪያዎቹ ሁለት ባይት ሃሽ ብቻ ይተላለፋሉ (የሃሽ አልጎሪዝም ጥቅም ላይ ይውላል) አርጎን2). ሙሉው ሃሽ በተጠቃሚው በኩል በተፈጠረ ቁልፍ የተመሰጠረ ነው። በGoogle ዳታቤዝ ውስጥ ያሉት ኦሪጅናል ሃሾች በተጨማሪ የተመሰጠሩ ናቸው እና ለመረጃ ጠቋሚ የመጀመሪያዎቹ ሁለት ባይት ብቻ ይቀራሉ። በሚተላለፈው ባለሁለት ባይት ቅድመ ቅጥያ ስር የወደቀው የሃሽ የመጨረሻ ማረጋገጫ በተጠቃሚው በኩል ክሪፕቶግራፊክ ቴክኖሎጂን በመጠቀም ይከናወናል"ዓይነ ስውርነት", የትኛውም አካል እየተጣራ ያለውን የውሂብ ይዘት አያውቅም. የዘፈቀደ ቅድመ ቅጥያዎችን በመጠየቅ የተጠለፉ መለያዎች የውሂብ ጎታ ይዘቶችን ለመከላከል የተላለፈው መረጃ በተረጋገጠ የመግቢያ እና የይለፍ ቃል ጥምረት ከተፈጠረው ቁልፍ ጋር በተገናኘ የተመሰጠረ ነው።

ምንጭ: opennet.ru

አስተያየት ያክሉ