Google
Qeyd olunur ki, hazırda saytların 90%-dən çoxu HTTPS-dən istifadə edərək Chrome istifadəçiləri tərəfindən açılır. Şifrələnmədən yüklənmiş əlavələrin olması rabitə kanalı üzərində nəzarət olduqda (məsələn, açıq Wi-Fi vasitəsilə qoşulduqda) qorunmayan məzmunun dəyişdirilməsi yolu ilə təhlükəsizlik təhdidləri yaradır. Qarışıq məzmun göstəricisi səhifənin təhlükəsizliyinin dəqiq qiymətləndirilməsini təmin etmədiyi üçün səmərəsiz və istifadəçini aldadıcı olduğu müəyyən edilib.
Hazırda skriptlər və iframelər kimi qarışıq məzmunun ən təhlükəli növləri artıq defolt olaraq bloklanıb, lakin şəkillər, audio fayllar və videolar hələ də http:// vasitəsilə endirilə bilər. Təcavüzkar görüntülərin saxtalaşdırılması vasitəsilə istifadəçi izləmə kukilərini əvəz edə, şəkil prosessorlarında zəifliklərdən istifadə etməyə cəhd edə və ya şəkildə təqdim olunan məlumatları əvəz etməklə saxtakarlıq edə bilər.
Bloklamanın tətbiqi bir neçə mərhələyə bölünür. Dekabrın 79-da nəzərdə tutulan Chrome 10, xüsusi saytlar üçün bloklanmağı deaktiv etməyə imkan verən yeni parametr təqdim edəcək. Bu parametr skriptlər və iframelər kimi artıq bloklanmış qarışıq məzmuna tətbiq ediləcək və bloklamanın aradan qaldırılması üçün əvvəllər təklif edilmiş göstəricini əvəz edərək, kilid simvoluna kliklədiyiniz zaman aşağı düşən menyu vasitəsilə çağırılacaq.
Fevralın 80-də gözlənilən Chrome 4, audio və video faylları üçün yumşaq bloklama sxemindən istifadə edəcək, bu da http:// linklərinin https:// ilə avtomatik dəyişdirilməsini nəzərdə tutur, problemli resurs HTTPS vasitəsilə də əldə olunarsa, funksionallığı qoruyacaq. . Şəkillər dəyişdirilmədən yüklənməyə davam edəcək, lakin http:// vasitəsilə endirilirsə, https:// səhifələri bütün səhifə üçün etibarsız əlaqə göstəricisini göstərəcək. Avtomatik olaraq https-ə dəyişmək və ya şəkilləri bloklamaq üçün sayt tərtibatçıları CSP xüsusiyyətlərini yüksəltmə-təhlükəsiz-istək və blok-bütün-qarışıq məzmundan istifadə edə biləcəklər. Martın 81-nə planlaşdırılan Chrome 17 qarışıq şəkil yükləmələri üçün http://-ni https://-ə avtomatik düzəldəcək.
Bundan əlavə, Google
Məxfiliyi qorumaq üçün xarici API-yə daxil olarkən, giriş və şifrənin hashinin yalnız ilk iki baytı ötürülür (hashing alqoritmi istifadə olunur)
Mənbə: opennet.ru