Google sobre el canvi de l'enfocament del processament de contingut mixt a les pàgines obertes mitjançant HTTPS. Anteriorment, si hi havia components a les pàgines obertes mitjançant HTTPS que es carregaven sense xifratge (mitjançant el protocol http://), es mostrava un indicador especial. En el futur, s'ha decidit bloquejar la càrrega d'aquests recursos per defecte. Així, es garantirà que les pàgines obertes mitjançant “https://” continguin només recursos descarregats mitjançant un canal de comunicació segur.
Cal assenyalar que actualment més del 90% dels llocs són oberts per usuaris de Chrome mitjançant HTTPS. La presència d'insercions carregades sense xifratge crea amenaces de seguretat mitjançant la modificació del contingut no protegit si hi ha control sobre el canal de comunicació (per exemple, quan es connecta mitjançant Wi-Fi obert). Es va trobar que l'indicador de contingut mixt era ineficaç i enganyós per a l'usuari, ja que no proporciona una avaluació clara de la seguretat de la pàgina.
Actualment, els tipus de contingut mixt més perillosos, com ara els scripts i els iframes, ja estan bloquejats de manera predeterminada, però encara es poden baixar imatges, fitxers d'àudio i vídeos a través de http://. Mitjançant la falsificació d'imatges, un atacant pot substituir les galetes de seguiment d'usuaris, intentar explotar vulnerabilitats en els processadors d'imatge o cometre falsificacions substituint la informació proporcionada a la imatge.
La introducció del bloqueig es divideix en diverses etapes. Chrome 79, previst per al 10 de desembre, inclourà una nova configuració que us permetrà desactivar el bloqueig de llocs específics. Aquesta configuració s'aplicarà al contingut mixt que ja està bloquejat, com ara scripts i iframes, i s'obrirà a través del menú desplegable quan feu clic al símbol de bloqueig, substituint l'indicador proposat anteriorment per desactivar el bloqueig.
Chrome 80, que s'espera el 4 de febrer, utilitzarà un esquema de bloqueig suau per als fitxers d'àudio i vídeo, la qual cosa implicarà la substitució automàtica dels enllaços http:// per https://, que preservarà la funcionalitat si el recurs problemàtic també és accessible mitjançant HTTPS. . Les imatges continuaran carregant-se sense canvis, però si es descarreguen mitjançant http://, les pàgines https:// mostraran un indicador de connexió insegura per a tota la pàgina. Per canviar automàticament a https o bloquejar imatges, els desenvolupadors del lloc podran utilitzar les sol·licituds d'actualització de propietats CSP i bloquejar tot el contingut mixt. Chrome 81, previst per al 17 de març, corregirà automàticament http:// a https:// per a càrregues d'imatges mixtes.
A més, Google sobre la integració en una de les properes versions del navegador Chome del nou component Password Checkup, anteriorment com . La integració comportarà l'aparició al gestor de contrasenyes de Chrome habitual d'eines per analitzar la fiabilitat de les contrasenyes utilitzades per l'usuari. Quan intenteu iniciar sessió a qualsevol lloc, el vostre inici de sessió i la vostra contrasenya es comprovaran amb una base de dades de comptes compromesos, amb un avís que es mostra si es detecten problemes. La comprovació es realitza amb una base de dades que cobreix més de 4 milions de comptes compromesos que van aparèixer en bases de dades d'usuaris filtrades. També es mostrarà un avís si intenteu utilitzar contrasenyes trivials com ara "abc123" (per El 23% dels nord-americans de Google utilitzen contrasenyes similars) o quan utilitzen la mateixa contrasenya en diversos llocs.
Per mantenir la confidencialitat en accedir a una API externa, només es transmeten els dos primers bytes del hash de l'inici de sessió i la contrasenya (s'utilitza l'algoritme de hash ). El hash complet es xifra amb una clau generada per part de l'usuari. Els hash originals de la base de dades de Google també estan xifrats addicionalment i només queden els dos primers bytes del hash per a la indexació. La verificació final dels hash que estan sota el prefix de dos bytes transmès es realitza per part de l'usuari mitjançant tecnologia criptogràfica "", en el qual cap de les parts coneix el contingut de les dades que s'estan comprovant. Per protegir-se del contingut d'una base de dades de comptes compromesos que es determina per força bruta amb una sol·licitud de prefixos arbitraris, les dades transmeses es xifren en relació amb una clau generada sobre la base d'una combinació verificada d'inici de sessió i contrasenya.
Font: opennet.ru