Google HTTPS vasitəsilə açılan səhifələrdə qarışıq məzmunun emalına yanaşmanın dəyişdirilməsi haqqında. Əvvəllər HTTPS vasitəsilə açılan səhifələrdə şifrələnmədən yüklənən komponentlər varsa (http:// protokolu vasitəsilə), xüsusi göstərici göstərilirdi. Gələcəkdə bu cür resursların defolt olaraq yüklənməsinin qarşısını almaq qərara alınıb. Beləliklə, “https://” vasitəsilə açılan səhifələrə yalnız təhlükəsiz kommunikasiya kanalı vasitəsilə yüklənmiş resursların olacağına zəmanət veriləcək.
Qeyd olunur ki, hazırda saytların 90%-dən çoxu HTTPS-dən istifadə edərək Chrome istifadəçiləri tərəfindən açılır. Şifrələnmədən yüklənmiş əlavələrin olması rabitə kanalı üzərində nəzarət olduqda (məsələn, açıq Wi-Fi vasitəsilə qoşulduqda) qorunmayan məzmunun dəyişdirilməsi yolu ilə təhlükəsizlik təhdidləri yaradır. Qarışıq məzmun göstəricisi səhifənin təhlükəsizliyinin dəqiq qiymətləndirilməsini təmin etmədiyi üçün səmərəsiz və istifadəçini aldadıcı olduğu müəyyən edilib.
Hazırda skriptlər və iframelər kimi qarışıq məzmunun ən təhlükəli növləri artıq defolt olaraq bloklanıb, lakin şəkillər, audio fayllar və videolar hələ də http:// vasitəsilə endirilə bilər. Təcavüzkar görüntülərin saxtalaşdırılması vasitəsilə istifadəçi izləmə kukilərini əvəz edə, şəkil prosessorlarında zəifliklərdən istifadə etməyə cəhd edə və ya şəkildə təqdim olunan məlumatları əvəz etməklə saxtakarlıq edə bilər.
Bloklamanın tətbiqi bir neçə mərhələyə bölünür. Dekabrın 79-da nəzərdə tutulan Chrome 10, xüsusi saytlar üçün bloklanmağı deaktiv etməyə imkan verən yeni parametr təqdim edəcək. Bu parametr skriptlər və iframelər kimi artıq bloklanmış qarışıq məzmuna tətbiq ediləcək və bloklamanın aradan qaldırılması üçün əvvəllər təklif edilmiş göstəricini əvəz edərək, kilid simvoluna kliklədiyiniz zaman aşağı düşən menyu vasitəsilə çağırılacaq.
Fevralın 80-də gözlənilən Chrome 4, audio və video faylları üçün yumşaq bloklama sxemindən istifadə edəcək, bu da http:// linklərinin https:// ilə avtomatik dəyişdirilməsini nəzərdə tutur, problemli resurs HTTPS vasitəsilə də əldə olunarsa, funksionallığı qoruyacaq. . Şəkillər dəyişdirilmədən yüklənməyə davam edəcək, lakin http:// vasitəsilə endirilirsə, https:// səhifələri bütün səhifə üçün etibarsız əlaqə göstəricisini göstərəcək. Avtomatik olaraq https-ə dəyişmək və ya şəkilləri bloklamaq üçün sayt tərtibatçıları CSP xüsusiyyətlərini yüksəltmə-təhlükəsiz-istək və blok-bütün-qarışıq məzmundan istifadə edə biləcəklər. Martın 81-nə planlaşdırılan Chrome 17 qarışıq şəkil yükləmələri üçün http://-ni https://-ə avtomatik düzəldəcək.
Bundan əlavə, Google əvvəllər yeni Password Checkup komponentinin Chome brauzerinin növbəti buraxılışlarından birinə inteqrasiya haqqında kimi . İnteqrasiya adi Chrome parol menecerində istifadəçinin istifadə etdiyi parolların etibarlılığını təhlil etmək üçün alətlərin görünməsinə səbəb olacaq. Hər hansı bir sayta daxil olmağa çalışdığınız zaman, loqin və parolunuz problem aşkar edilərsə, xəbərdarlıq göstərilməklə, oğurlanmış hesabların verilənlər bazası ilə yoxlanılacaq. Yoxlama sızan istifadəçi məlumat bazalarında görünən 4 milyarddan çox oğurlanmış hesabı əhatə edən verilənlər bazasına qarşı aparılır. "abc123" kimi mənasız parollardan istifadə etməyə cəhd etsəniz, xəbərdarlıq da göstəriləcək. Google Amerikalıların 23%-i oxşar parollardan istifadə edir) və ya bir neçə saytda eyni paroldan istifadə edərkən.
Məxfiliyi qorumaq üçün xarici API-yə daxil olarkən, giriş və şifrənin hashinin yalnız ilk iki baytı ötürülür (hashing alqoritmi istifadə olunur) ). Tam hash istifadəçi tərəfində yaradılan açarla şifrələnir. Google verilənlər bazasındakı orijinal hashlar da əlavə olaraq şifrələnir və indeksləşdirmə üçün yalnız ilk iki bayt qalır. Köçürülən iki baytlıq prefiksin altına düşən hashlərin son yoxlanışı kriptoqrafik texnologiyadan istifadə etməklə istifadəçi tərəfindən həyata keçirilir.", burada heç bir tərəf yoxlanılan məlumatların məzmununu bilmir. İxtiyari prefikslər üçün sorğu ilə kobud zorakılıqla müəyyən edilən pozulmuş hesabların məlumat bazasının məzmunundan qorunmaq üçün ötürülən məlumatlar, təsdiqlənmiş login və parol kombinasiyası əsasında yaradılan açarla əlaqəli şəkildə şifrələnir.
Mənbə: opennet.ru