Google
Napominje se da trenutno više od 90% stranica otvaraju korisnici Chromea koristeći HTTPS. Prisustvo umetaka učitanih bez enkripcije stvara sigurnosne prijetnje modifikacijom nezaštićenog sadržaja ako postoji kontrola nad komunikacijskim kanalom (na primjer, pri povezivanju putem otvorenog Wi-Fi-ja). Pokazalo se da je indikator mješovitog sadržaja neefikasan i obmanjujući korisnika, jer ne daje jasnu procjenu sigurnosti stranice.
Trenutno su najopasniji tipovi mješovitog sadržaja, kao što su skripte i iframeovi, već blokirani prema zadanim postavkama, ali slike, audio datoteke i video zapisi i dalje se mogu preuzeti putem http://. Putem lažiranja slika, napadač može zamijeniti kolačiće za praćenje korisnika, pokušati iskoristiti ranjivosti u procesorima slika ili počiniti krivotvorenje zamjenom informacija datih na slici.
Uvođenje blokade podijeljeno je u nekoliko faza. Chrome 79, najavljen za 10. decembar, imat će novu postavku koja će vam omogućiti da onemogućite blokiranje za određene web lokacije. Ova postavka će se primijeniti na mješoviti sadržaj koji je već blokiran, kao što su skripte i iframeovi, i biće pozvana kroz meni koji se spušta kada kliknete na simbol katanca, zamjenjujući prethodno predloženi indikator za onemogućavanje blokiranja.
Chrome 80, koji se očekuje 4. februara, koristit će šemu mekog blokiranja audio i video datoteka, što podrazumijeva automatsku zamjenu http:// linkova sa https://, što će sačuvati funkcionalnost ako je problematični resurs dostupan i preko HTTPS-a . Slike će se nastaviti učitavati bez promjena, ali ako se preuzmu putem http://, https:// stranice će prikazati indikator nesigurne veze za cijelu stranicu. Za automatsku promjenu na https ili blokiranje slika, programeri web mjesta će moći koristiti CSP svojstva upgrade-insecure-requests i block-all-mixed-content. Chrome 81, zakazan za 17. mart, će automatski ispraviti http:// u https:// za miješano otpremanje slika.
Pored toga, Google
Da bi se održala povjerljivost, prilikom pristupa vanjskom API-ju, prenose se samo prva dva bajta hash login i lozinke (koristi se algoritam heširanja
izvor: opennet.ru