Google
Hè nutatu chì attualmente più di 90% di i siti sò aperti da l'utilizatori di Chrome chì utilizanu HTTPS. A prisenza di inserti caricati senza criptografia crea minacce di violazione di a sicurità attraversu a mudificazione di u cuntenutu senza prutezzione s'ellu ci hè un cuntrollu di u canali di cumunicazione (per esempiu, quandu si cunnette via Wi-Fi apertu). L'indicatore di cuntenutu mistu hè statu truvatu inefficace è ingannante per l'utilizatore, postu chì ùn furnisce micca una valutazione chjara di a sicurità di a pagina.
Attualmente, i tipi più periculosi di cuntenutu mistu, cum'è scripts è iframes, sò digià bluccati per automaticamente, ma l'imaghjini, i fugliali audio è i video ponu sempre esse scaricati via http://. Per mezu di spoofing di l'imaghjini, un attaccu pò rimpiazzà i Cookies di seguimentu di l'utilizatori, pruvate à sfruttà e vulnerabilità in i processori di l'imaghjini, o cummette falsificazioni rimpiazzendu l'infurmazioni furnite in l'imaghjini.
L'intruduzioni di u bloccu hè divisu in parechje tappe. Chrome 79, slated for December 10th, presenta una nova paràmetra chì vi permetterà di disattivà u bluccatu per siti specifichi. Stu paràmetru serà appiicatu à u cuntenutu mistu chì hè digià bluccatu, cum'è scripts è iframes, è serà chjamatu attraversu u menù chì scende quandu cliccate nantu à u simbulu di serratura, rimpiazzà l'indicatore prupostu prima per disattivà u bloccu.
Chrome 80, chì hè previstu u 4 di ferraghju, utilizerà un schema di bluccatu suave per i fugliali audio è video, chì implica a sostituzione automatica di ligami http:// cù https://, chì priservà a funziunalità se a risorsa problematica hè ancu accessibile via HTTPS. . L'imaghjini cuntinueghjanu à carricà senza cambiamenti, ma se scaricate via http://, e pagine https:// mostrarà un indicatore di cunnessione insegura per tutta a pagina. Per cambià automaticamente in https o bluccà l'imaghjini, i sviluppatori di u situ puderanu aduprà e proprietà CSP upgrade-insecure-requests è block-all-mixed-content. Chrome 81, previstu per u 17 di marzu, correggerà automaticamente http:// à https:// per caricamenti d'imaghjini misti.
Inoltre, Google
Per mantene a cunfidenziale, quandu accede à una API esterna, solu i primi dui bytes di l'hash di u login è a password sò trasmessi (l'algoritmu di hashing hè utilizatu).
Source: opennet.ru