متصفح الجوجل حول تغيير أسلوب معالجة المحتوى المختلط على الصفحات المفتوحة عبر HTTPS. في السابق، إذا كانت هناك مكونات على الصفحات المفتوحة عبر HTTPS والتي تم تحميلها بدون تشفير (عبر بروتوكول http://)، فسيتم عرض مؤشر خاص. في المستقبل، تقرر حظر تحميل هذه الموارد بشكل افتراضي. وبالتالي، سيتم ضمان احتواء الصفحات المفتوحة عبر "https://" على الموارد التي تم تنزيلها عبر قناة اتصال آمنة فقط.
تجدر الإشارة إلى أن أكثر من 90% من المواقع حاليًا يتم فتحها بواسطة مستخدمي Chrome باستخدام HTTPS. يؤدي وجود الإدخالات المحملة بدون تشفير إلى إنشاء تهديدات أمنية من خلال تعديل المحتوى غير المحمي إذا كان هناك تحكم في قناة الاتصال (على سبيل المثال، عند الاتصال عبر شبكة Wi-Fi مفتوحة). تبين أن مؤشر المحتوى المختلط غير فعال ومضلل للمستخدم، حيث أنه لا يقدم تقييمًا واضحًا لأمان الصفحة.
حاليًا، يتم حظر أخطر أنواع المحتوى المختلط، مثل البرامج النصية وإطارات iframe افتراضيًا، ولكن لا يزال من الممكن تنزيل الصور والملفات الصوتية ومقاطع الفيديو عبر http://. من خلال انتحال الصور، يمكن للمهاجم استبدال ملفات تعريف الارتباط لتتبع المستخدم، أو محاولة استغلال نقاط الضعف في معالجات الصور، أو ارتكاب التزوير عن طريق استبدال المعلومات المقدمة في الصورة.
ينقسم إدخال الحظر إلى عدة مراحل. سيحتوي Chrome 79، المقرر إطلاقه في 10 ديسمبر، على إعداد جديد يسمح لك بتعطيل الحظر لمواقع محددة. سيتم تطبيق هذا الإعداد على المحتوى المختلط المحظور بالفعل، مثل البرامج النصية وإطارات iframe، وسيتم استدعاؤه من خلال القائمة المنسدلة عند النقر فوق رمز القفل، ليحل محل المؤشر المقترح مسبقًا لتعطيل الحظر.
سيستخدم Chrome 80، المتوقع إصداره في 4 فبراير، نظام حظر بسيط لملفات الصوت والفيديو، مما يعني الاستبدال التلقائي لروابط http:// بـ https://، مما سيحافظ على الوظائف إذا كان من الممكن الوصول إلى المورد الذي به مشكلة عبر HTTPS أيضًا . سيستمر تحميل الصور دون تغييرات، ولكن إذا تم تنزيلها عبر http://، فستعرض صفحات https:// مؤشر اتصال غير آمن للصفحة بأكملها. للتغيير تلقائيًا إلى https أو حظر الصور، سيتمكن مطورو الموقع من استخدام طلبات الترقية غير الآمنة لخصائص CSP وحظر المحتوى المختلط بالكامل. سيقوم Chrome 81، المقرر إجراؤه في 17 مارس، بتصحيح http:// إلى https:// تلقائيًا لعمليات تحميل الصور المختلطة.
وبالإضافة إلى ذلك، جوجل حول التكامل في أحد الإصدارات التالية من متصفح Chome لمكون فحص كلمة المرور الجديد سابقًا في شكل . سيؤدي التكامل إلى ظهور أدوات في مدير كلمات مرور Chrome العادي لتحليل موثوقية كلمات المرور التي يستخدمها المستخدم. عندما تحاول تسجيل الدخول إلى أي موقع، سيتم التحقق من تسجيل الدخول وكلمة المرور الخاصة بك مقابل قاعدة بيانات للحسابات المخترقة، مع عرض تحذير في حالة اكتشاف مشاكل. يتم إجراء الفحص وفقًا لقاعدة بيانات تغطي أكثر من 4 مليارات حساب مخترق ظهرت في قواعد بيانات المستخدمين المسربة. سيتم أيضًا عرض تحذير إذا حاولت استخدام كلمات مرور تافهة مثل "abc123" (بواسطة جوجل: 23% من الأمريكيين يستخدمون كلمات مرور متشابهة)، أو عند استخدام نفس كلمة المرور على مواقع متعددة.
للحفاظ على السرية، عند الوصول إلى واجهة برمجة التطبيقات الخارجية، يتم إرسال أول بايتين فقط من تجزئة تسجيل الدخول وكلمة المرور (يتم استخدام خوارزمية التجزئة ). يتم تشفير التجزئة الكاملة بمفتاح تم إنشاؤه من جانب المستخدم. يتم أيضًا تشفير التجزئة الأصلية في قاعدة بيانات Google، ولا يتم ترك سوى أول بايتين من التجزئة للفهرسة. يتم إجراء التحقق النهائي من التجزئة التي تندرج تحت البادئة ثنائية البايت المرسلة من جانب المستخدم باستخدام تقنية التشفير ""، حيث لا يعرف أي من الطرفين محتويات البيانات التي يتم فحصها. للحماية من محتويات قاعدة بيانات الحسابات المخترقة التي يتم تحديدها بالقوة الغاشمة مع طلب بادئات عشوائية، يتم تشفير البيانات المرسلة فيما يتعلق بمفتاح تم إنشاؤه على أساس مجموعة تم التحقق منها من تسجيل الدخول وكلمة المرور.
المصدر: opennet.ru