Google bahin sa pagbag-o sa pamaagi sa pagproseso sa nagkasagol nga sulud sa mga panid nga giablihan pinaagi sa HTTPS. Kaniadto, kung adunay mga sangkap sa mga panid nga giablihan pinaagi sa HTTPS nga gikarga gikan sa wala’y pag-encrypt (pinaagi sa http:// protocol), usa ka espesyal nga timailhan ang gipakita. Sa umaabot, nakahukom nga babagan ang pagkarga sa ingon nga mga kahinguhaan pinaagi sa default. Sa ingon, ang mga panid nga giablihan pinaagi sa "https://" garantiya nga adunay sulud nga mga kapanguhaan nga gi-download pinaagi sa usa ka luwas nga channel sa komunikasyon.
Namatikdan nga sa pagkakaron labaw pa sa 90% sa mga site ang giablihan sa mga tiggamit sa Chrome gamit ang HTTPS. Ang presensya sa mga pagsal-ot nga gikarga nga walay encryption nagmugna og mga hulga sa seguridad pinaagi sa pagbag-o sa wala'y proteksyon nga sulod kung adunay kontrol sa channel sa komunikasyon (pananglitan, kung nagkonektar pinaagi sa bukas nga Wi-Fi). Ang sagol nga indikasyon sa sulud nakit-an nga dili epektibo ug nagpahisalaag sa tiggamit, tungod kay wala kini maghatag usa ka tin-aw nga pagsusi sa seguridad sa panid.
Sa pagkakaron, ang labing delikado nga matang sa nagkasagol nga sulod, sama sa mga script ug iframe, gibabagan na pinaagi sa default, apan ang mga hulagway, audio file ug mga video mahimo gihapon nga ma-download pinaagi sa http://. Pinaagi sa pag-spoof sa imahe, mahimong ilisan sa usa ka tig-atake ang Cookies sa pagsubay sa tiggamit, pagsulay sa pagpahimulos sa mga kahuyangan sa mga tigproseso sa imahe, o paghimo og peke pinaagi sa pag-ilis sa kasayuran nga gihatag sa imahe.
Ang pagpaila sa blocking gibahin sa daghang mga yugto. Ang Chrome 79, nga gikatakda sa Disyembre 10th, magpakita sa usa ka bag-ong setting nga magtugot kanimo sa pag-disable sa pag-block alang sa piho nga mga site. Ang kini nga setting magamit sa nagkasagol nga sulud nga na-block na, sama sa mga script ug iframe, ug tawgon pinaagi sa menu nga nahulog kung imong i-klik ang simbolo sa lock, ilisan ang gisugyot kaniadto nga timailhan alang sa pag-disable sa pag-block.
Ang Chrome 80, nga gipaabot sa Pebrero 4, mogamit sa usa ka soft blocking scheme alang sa audio ug video files, nga nagpasabot sa awtomatik nga pag-ilis sa http:// links sa https://, nga magpreserbar sa functionality kung ang problemadong kapanguhaan ma-access usab pinaagi sa HTTPS . Ang mga imahe magpadayon sa pagkarga nga wala’y mga pagbag-o, apan kung ma-download pinaagi sa http://, ang https:// nga mga panid magpakita usa ka dili sigurado nga timailhan sa koneksyon alang sa tibuuk nga panid. Aron awtomatikong mausab ngadto sa https o i-block ang mga hulagway, ang mga developers sa site makagamit sa CSP properties upgrade-insecure-requests ug block-all-mixed-content. Ang Chrome 81, nga gikatakda sa Marso 17, mag-auto-correct sa http:// ngadto sa https:// para sa nagkasagol nga pag-upload sa imahe.
Dugang pa, ang Google mahitungod sa integrasyon ngadto sa usa sa sunod nga pagpagawas sa Chome browser sa bag-ong Password Checkup component, kaniadto sa porma . Ang integrasyon mosangpot sa pagpakita sa regular nga Chrome password manager sa mga himan alang sa pag-analisar sa pagkakasaligan sa mga password nga gigamit sa user. Kung mosulay ka sa pag-log in sa bisan unsang site, ang imong login ug password susihon batok sa usa ka database sa nakompromiso nga mga account, nga adunay usa ka pasidaan nga gipakita kung adunay mga problema. Ang pagsusi gihimo batok sa usa ka database nga naglangkob sa labaw pa sa 4 bilyon nga nakompromiso nga mga account nga nagpakita sa mga leaked nga database sa tiggamit. Usa ka pasidaan ang ipakita usab kung imong sulayan ang paggamit sa mga walay hinungdan nga password sama sa "abc123" (sa Google 23% sa mga Amerikano naggamit sa susama nga mga password), o kung naggamit sa parehas nga password sa daghang mga site.
Aron mapadayon ang kompidensyal, kung mag-access sa usa ka eksternal nga API, ang una nga duha ka byte sa hash sa login ug password ang gipasa (gigamit ang algorithm sa hashing. ). Ang bug-os nga hash gi-encrypt gamit ang yawe nga gihimo sa kilid sa tiggamit. Ang orihinal nga mga hash sa database sa Google dugang usab nga na-encrypt ug ang una nga duha ka byte sa hash ang nahabilin alang sa pag-indeks. Ang katapusan nga pag-verify sa mga hash nga nahulog sa ilawom sa gipasa nga two-byte prefix gihimo sa kilid sa tiggamit gamit ang teknolohiya sa cryptographic "", diin walay partido nga nahibal-an ang sulud sa datos nga gisusi. Aron mapanalipdan batok sa mga sulud sa usa ka database sa mga nakompromiso nga mga account nga gitino pinaagi sa brute force nga adunay usa ka hangyo alang sa arbitraryong mga prefix, ang gipasa nga datos gi-encrypt nga may kalabotan sa usa ka yawe nga gihimo pinasukad sa usa ka napamatud-an nga kombinasyon sa pag-login ug password.
Source: opennet.ru