Google
Cal assenyalar que actualment més del 90% dels llocs són oberts per usuaris de Chrome mitjançant HTTPS. La presència d'insercions carregades sense xifratge crea amenaces de seguretat mitjançant la modificació del contingut no protegit si hi ha control sobre el canal de comunicació (per exemple, quan es connecta mitjançant Wi-Fi obert). Es va trobar que l'indicador de contingut mixt era ineficaç i enganyós per a l'usuari, ja que no proporciona una avaluació clara de la seguretat de la pàgina.
Actualment, els tipus de contingut mixt més perillosos, com ara els scripts i els iframes, ja estan bloquejats de manera predeterminada, però encara es poden baixar imatges, fitxers d'àudio i vídeos a través de http://. Mitjançant la falsificació d'imatges, un atacant pot substituir les galetes de seguiment d'usuaris, intentar explotar vulnerabilitats en els processadors d'imatge o cometre falsificacions substituint la informació proporcionada a la imatge.
La introducció del bloqueig es divideix en diverses etapes. Chrome 79, previst per al 10 de desembre, inclourà una nova configuració que us permetrà desactivar el bloqueig de llocs específics. Aquesta configuració s'aplicarà al contingut mixt que ja està bloquejat, com ara scripts i iframes, i s'obrirà a través del menú desplegable quan feu clic al símbol de bloqueig, substituint l'indicador proposat anteriorment per desactivar el bloqueig.
Chrome 80, que s'espera el 4 de febrer, utilitzarà un esquema de bloqueig suau per als fitxers d'àudio i vídeo, la qual cosa implicarà la substitució automàtica dels enllaços http:// per https://, que preservarà la funcionalitat si el recurs problemàtic també és accessible mitjançant HTTPS. . Les imatges continuaran carregant-se sense canvis, però si es descarreguen mitjançant http://, les pàgines https:// mostraran un indicador de connexió insegura per a tota la pàgina. Per canviar automàticament a https o bloquejar imatges, els desenvolupadors del lloc podran utilitzar les sol·licituds d'actualització de propietats CSP i bloquejar tot el contingut mixt. Chrome 81, previst per al 17 de març, corregirà automàticament http:// a https:// per a càrregues d'imatges mixtes.
A més, Google
Per mantenir la confidencialitat en accedir a una API externa, només es transmeten els dos primers bytes del hash de l'inici de sessió i la contrasenya (s'utilitza l'algoritme de hash
Font: opennet.ru