Кампанія Google
Адзначаецца, што ў цяперашні час больш за 90% сайтаў, адчыняюцца карыстачамі Chrome з выкарыстаннем HTTPS. Наяўнасць уставак, загружаных без шыфравання, стварае пагрозы парушэння бяспекі праз мадыфікацыю неабароненага кантэнту пры наяўнасці кантролю за каналам сувязі (напрыклад, пры падлучэнні праз адчыненыя Wi-Fi). Індыкатар змешанага кантэнту прызнаны неэфектыўным і ўводзяць карыстача ў памылку, бо ён не дае адназначнай адзнакі бяспекі старонкі.
У цяперашні час найбольш небяспечныя віды змешанага кантэнту, такія як скрыпты і iframe, ужо блакуюцца па змаўчанні, але выявы, гукавыя файлы і відэа па-ранейшаму могуць быць загружаны па http://. Праз падмену малюнкаў атакавалы можа падставіць адсочваюць дзеянні карыстача Cookie, паспрабаваць эксплуатаваць уразлівасці ў апрацоўшчыках малюнкаў або здзейсніць падробку, замяніўшы прадстаўленую на малюнку інфармацыю.
Увядзенне блакіроўкі падзелена на некалькі этапаў. У Chrome 79, намечаным на 10 снежня, з'явіцца новая настройка, якая дазволіць адключыць блакіроўку для канкрэтных сайтаў. Указаная настройка будзе прымяняцца для ўжо блакіраванага змешанага кантэнту, такога як скрыпты і iframe, і выклікацца праз меню, якое выпадае пры кліку на сімвал замка, замяніўшы сабой раней прапанаваны індыкатар для адключэння блакіроўкі.
У Chrome 80, які чакаецца 4 лютага, будзе ўжытая мяккая схема блакавання гукавых і відэа файлаў, якая разумее аўтаматычную замену ў спасылках http:// на https://, што дазволіць захаваць працаздольнасць, калі праблемны рэсурс таксама даступны па HTTPS. Выявы працягнуць загружацца без змен, але ў выпадку загрузкі па http:// на станіцах https:// для ўсёй старонкі пачне выводзіцца індыкатар неабароненага злучэння. Для аўтазамены на https або блакаванні малюнкаў распрацоўшчыкі сайтаў змогуць выкарыстоўваць CSP-уласцівасці upgrade-insecure-requests і block-all-mixed-content. У выпуску Chrome 81, запланаваным на 17 сакавіка, пры змешанай загрузцы малюнкаў будзе прыменена аўтазамена на http:// на https://.
Акрамя таго, кампанія Google
Для захавання прыватнасці пры звароце да знешняга API перадаецца толькі першыя два байта хэша ад звязкі з лагіна і пароля (для хэшавання выкарыстоўваецца алгарытм
Крыніца: opennet.ru