Google
Namatikdan nga sa pagkakaron labaw pa sa 90% sa mga site ang giablihan sa mga tiggamit sa Chrome gamit ang HTTPS. Ang presensya sa mga pagsal-ot nga gikarga nga walay encryption nagmugna og mga hulga sa seguridad pinaagi sa pagbag-o sa wala'y proteksyon nga sulod kung adunay kontrol sa channel sa komunikasyon (pananglitan, kung nagkonektar pinaagi sa bukas nga Wi-Fi). Ang sagol nga indikasyon sa sulud nakit-an nga dili epektibo ug nagpahisalaag sa tiggamit, tungod kay wala kini maghatag usa ka tin-aw nga pagsusi sa seguridad sa panid.
Sa pagkakaron, ang labing delikado nga matang sa nagkasagol nga sulod, sama sa mga script ug iframe, gibabagan na pinaagi sa default, apan ang mga hulagway, audio file ug mga video mahimo gihapon nga ma-download pinaagi sa http://. Pinaagi sa pag-spoof sa imahe, mahimong ilisan sa usa ka tig-atake ang Cookies sa pagsubay sa tiggamit, pagsulay sa pagpahimulos sa mga kahuyangan sa mga tigproseso sa imahe, o paghimo og peke pinaagi sa pag-ilis sa kasayuran nga gihatag sa imahe.
Ang pagpaila sa blocking gibahin sa daghang mga yugto. Ang Chrome 79, nga gikatakda sa Disyembre 10th, magpakita sa usa ka bag-ong setting nga magtugot kanimo sa pag-disable sa pag-block alang sa piho nga mga site. Ang kini nga setting magamit sa nagkasagol nga sulud nga na-block na, sama sa mga script ug iframe, ug tawgon pinaagi sa menu nga nahulog kung imong i-klik ang simbolo sa lock, ilisan ang gisugyot kaniadto nga timailhan alang sa pag-disable sa pag-block.
Ang Chrome 80, nga gipaabot sa Pebrero 4, mogamit sa usa ka soft blocking scheme alang sa audio ug video files, nga nagpasabot sa awtomatik nga pag-ilis sa http:// links sa https://, nga magpreserbar sa functionality kung ang problemadong kapanguhaan ma-access usab pinaagi sa HTTPS . Ang mga imahe magpadayon sa pagkarga nga wala’y mga pagbag-o, apan kung ma-download pinaagi sa http://, ang https:// nga mga panid magpakita usa ka dili sigurado nga timailhan sa koneksyon alang sa tibuuk nga panid. Aron awtomatikong mausab ngadto sa https o i-block ang mga hulagway, ang mga developers sa site makagamit sa CSP properties upgrade-insecure-requests ug block-all-mixed-content. Ang Chrome 81, nga gikatakda sa Marso 17, mag-auto-correct sa http:// ngadto sa https:// para sa nagkasagol nga pag-upload sa imahe.
Dugang pa, ang Google
Aron mapadayon ang kompidensyal, kung mag-access sa usa ka eksternal nga API, ang una nga duha ka byte sa hash sa login ug password ang gipasa (gigamit ang algorithm sa hashing.
Source: opennet.ru