Google
Je třeba poznamenat, že v současné době je více než 90 % webů otevřeno uživateli Chrome pomocí HTTPS. Přítomnost vložek načtených bez šifrování vytváří bezpečnostní hrozby prostřednictvím úpravy nechráněného obsahu, pokud existuje kontrola nad komunikačním kanálem (například při připojení přes otevřenou Wi-Fi). Ukazatel smíšeného obsahu byl shledán jako neúčinný a pro uživatele zavádějící, protože neposkytuje jasné posouzení bezpečnosti stránky.
V současnosti jsou nejnebezpečnější typy smíšeného obsahu, jako jsou skripty a prvky iframe, již ve výchozím nastavení blokovány, ale obrázky, zvukové soubory a videa lze stále stahovat přes http://. Prostřednictvím falšování obrázků může útočník nahradit soubory cookie pro sledování uživatelů, pokusit se zneužít zranitelnosti v procesorech obrázků nebo se dopustit padělání tím, že nahradí informace poskytnuté v obrázku.
Zavedení blokování je rozděleno do několika fází. Chrome 79, plánovaný na 10. prosince, bude obsahovat nové nastavení, které vám umožní zakázat blokování pro konkrétní weby. Toto nastavení se použije na smíšený obsah, který je již blokován, jako jsou skripty a prvky iframe, a bude vyvoláno prostřednictvím nabídky, která se rozbalí po kliknutí na symbol zámku a nahradí dříve navrhovaný indikátor pro deaktivaci blokování.
Chrome 80, který se očekává 4. února, bude používat schéma měkkého blokování pro zvukové a video soubory, což znamená automatické nahrazení odkazů http:// za https://, což zachová funkčnost, pokud je problematický zdroj přístupný také přes HTTPS. . Obrázky se budou i nadále načítat beze změn, ale pokud jsou staženy přes http://, na stránkách https:// se zobrazí indikátor nezabezpečeného připojení pro celou stránku. Pro automatickou změnu na https nebo blokování obrázků budou vývojáři stránek moci použít vlastnosti CSP upgrade-insecure-requests a block-all-mixed-content. Chrome 81, naplánovaný na 17. března, automaticky opraví http:// na https:// pro smíšené obrázky.
Navíc Google
Pro zachování důvěrnosti se při přístupu k externímu rozhraní API přenášejí pouze první dva bajty hash přihlašovacího jména a hesla (používá se hashovací algoritmus
Zdroj: opennet.ru