Google nantu à cambià l'approcciu di trasfurmà u cuntenutu mistu in e pagine aperte via HTTPS. Prima, s'ellu ci era cumpunenti nantu à e pagine aperte via HTTPS chì sò stati caricati da senza criptografia (via u protocolu http://), un indicatore speciale hè statu affissatu. In u futuru, hè statu decisu di bluccà a carica di tali risorse per difettu. Cusì, e pagine aperte via "https://" seranu guarantiti per cuntene solu risorse scaricate via un canale di cumunicazione sicuru.
Hè nutatu chì attualmente più di 90% di i siti sò aperti da l'utilizatori di Chrome chì utilizanu HTTPS. A prisenza di inserti caricati senza criptografia crea minacce di violazione di a sicurità attraversu a mudificazione di u cuntenutu senza prutezzione s'ellu ci hè un cuntrollu di u canali di cumunicazione (per esempiu, quandu si cunnette via Wi-Fi apertu). L'indicatore di cuntenutu mistu hè statu truvatu inefficace è ingannante per l'utilizatore, postu chì ùn furnisce micca una valutazione chjara di a sicurità di a pagina.
Attualmente, i tipi più periculosi di cuntenutu mistu, cum'è scripts è iframes, sò digià bluccati per automaticamente, ma l'imaghjini, i fugliali audio è i video ponu sempre esse scaricati via http://. Per mezu di spoofing di l'imaghjini, un attaccu pò rimpiazzà i Cookies di seguimentu di l'utilizatori, pruvate à sfruttà e vulnerabilità in i processori di l'imaghjini, o cummette falsificazioni rimpiazzendu l'infurmazioni furnite in l'imaghjini.
L'intruduzioni di u bloccu hè divisu in parechje tappe. Chrome 79, slated for December 10th, presenta una nova paràmetra chì vi permetterà di disattivà u bluccatu per siti specifichi. Stu paràmetru serà appiicatu à u cuntenutu mistu chì hè digià bluccatu, cum'è scripts è iframes, è serà chjamatu attraversu u menù chì scende quandu cliccate nantu à u simbulu di serratura, rimpiazzà l'indicatore prupostu prima per disattivà u bloccu.
Chrome 80, chì hè previstu u 4 di ferraghju, utilizerà un schema di bluccatu suave per i fugliali audio è video, chì implica a sostituzione automatica di ligami http:// cù https://, chì priservà a funziunalità se a risorsa problematica hè ancu accessibile via HTTPS. . L'imaghjini cuntinueghjanu à carricà senza cambiamenti, ma se scaricate via http://, e pagine https:// mostrarà un indicatore di cunnessione insegura per tutta a pagina. Per cambià automaticamente in https o bluccà l'imaghjini, i sviluppatori di u situ puderanu aduprà e proprietà CSP upgrade-insecure-requests è block-all-mixed-content. Chrome 81, previstu per u 17 di marzu, correggerà automaticamente http:// à https:// per caricamenti d'imaghjini misti.
Inoltre, Google circa l'integrazione in una di e prossime versioni di u navigatore Chome di u novu cumpunente Password Checkup, prima in forma di . L'integrazione porterà à l'apparizione in u gestore di password di Chrome regulare di strumenti per analizà l'affidabilità di e password utilizzate da l'utilizatore. Quandu pruvate à accede à qualsiasi situ, u vostru login è password seranu verificati contru una basa di dati di cunti cumprumessi, cù un avvisu affissatu se i prublemi sò rilevati. U cuntrollu hè realizatu contru una basa di dati chì copre più di 4 miliardi di cunti cumprumessi chì apparsu in basa di dati d'utilizatori filtrati. Un avvisu serà ancu mostratu se pruvate d'utilizà password triviali cum'è "abc123" (da Google 23% di l'Americani utilizanu password simili), o quandu utilizanu a stessa password in parechji siti.
Per mantene a cunfidenziale, quandu accede à una API esterna, solu i primi dui bytes di l'hash di u login è a password sò trasmessi (l'algoritmu di hashing hè utilizatu). ). L'hash sanu hè criptatu cù una chjave generata da u latu di l'utilizatori. L'hash originali in a basa di dati di Google sò ancu criptati è solu i primi dui bytes di l'hash sò lasciati per l'indexazione. A verificazione finale di l'hash chì cadenu sottu u prefissu di dui byte trasmessi hè realizatu da u latu di l'utilizatori cù a tecnulugia criptografica "", in quale nisuna parte cunnosci u cuntenutu di e dati chì sò verificati. Per prutezzione di u cuntenutu di una basa di dati di cunti cumprumessi chì sò determinate da a forza bruta cù una dumanda di prefissi arbitrarie, i dati trasmessi sò criptati in cunnessione cù una chjave generata nantu à a basa di una cumminazione verificata di login è password.
Source: opennet.ru