Google o změně přístupu ke zpracování smíšeného obsahu na stránkách otevřených přes HTTPS. Dříve, pokud na stránkách otevřených přes HTTPS byly komponenty, které byly načteny bez šifrování (přes protokol http://), zobrazoval se speciální indikátor. V budoucnu bylo rozhodnuto standardně blokovat načítání takových zdrojů. Stránky otevřené přes „https://“ tak budou zaručeně obsahovat pouze zdroje stažené přes zabezpečený komunikační kanál.
Je třeba poznamenat, že v současné době je více než 90 % webů otevřeno uživateli Chrome pomocí HTTPS. Přítomnost vložek načtených bez šifrování vytváří bezpečnostní hrozby prostřednictvím úpravy nechráněného obsahu, pokud existuje kontrola nad komunikačním kanálem (například při připojení přes otevřenou Wi-Fi). Ukazatel smíšeného obsahu byl shledán jako neúčinný a pro uživatele zavádějící, protože neposkytuje jasné posouzení bezpečnosti stránky.
V současnosti jsou nejnebezpečnější typy smíšeného obsahu, jako jsou skripty a prvky iframe, již ve výchozím nastavení blokovány, ale obrázky, zvukové soubory a videa lze stále stahovat přes http://. Prostřednictvím falšování obrázků může útočník nahradit soubory cookie pro sledování uživatelů, pokusit se zneužít zranitelnosti v procesorech obrázků nebo se dopustit padělání tím, že nahradí informace poskytnuté v obrázku.
Zavedení blokování je rozděleno do několika fází. Chrome 79, plánovaný na 10. prosince, bude obsahovat nové nastavení, které vám umožní zakázat blokování pro konkrétní weby. Toto nastavení se použije na smíšený obsah, který je již blokován, jako jsou skripty a prvky iframe, a bude vyvoláno prostřednictvím nabídky, která se rozbalí po kliknutí na symbol zámku a nahradí dříve navrhovaný indikátor pro deaktivaci blokování.
Chrome 80, který se očekává 4. února, bude používat schéma měkkého blokování pro zvukové a video soubory, což znamená automatické nahrazení odkazů http:// za https://, což zachová funkčnost, pokud je problematický zdroj přístupný také přes HTTPS. . Obrázky se budou i nadále načítat beze změn, ale pokud jsou staženy přes http://, na stránkách https:// se zobrazí indikátor nezabezpečeného připojení pro celou stránku. Pro automatickou změnu na https nebo blokování obrázků budou vývojáři stránek moci použít vlastnosti CSP upgrade-insecure-requests a block-all-mixed-content. Chrome 81, naplánovaný na 17. března, automaticky opraví http:// na https:// pro smíšené obrázky.
Navíc Google o integraci nové komponenty Password Checkup do jednoho z příštích vydání prohlížeče Chome ve formě . Integrace povede k tomu, že se v běžném správci hesel Chrome objeví nástroje pro analýzu spolehlivosti hesel používaných uživatelem. Když se pokusíte přihlásit na jakoukoli stránku, vaše přihlašovací jméno a heslo bude zkontrolováno proti databázi kompromitovaných účtů a v případě zjištění problémů se zobrazí varování. Kontrola se provádí proti databázi pokrývající více než 4 miliardy kompromitovaných účtů, které se objevily v uniklých uživatelských databázích. Upozornění se také zobrazí, pokud se pokusíte použít triviální hesla, jako je „abc123“ (od Google 23 % Američanů používá podobná hesla), nebo když používají stejné heslo na více webech.
Pro zachování důvěrnosti se při přístupu k externímu rozhraní API přenášejí pouze první dva bajty hash přihlašovacího jména a hesla (používá se hashovací algoritmus ). Úplný hash je zašifrován klíčem vygenerovaným na straně uživatele. Původní hashe v databázi Google jsou také dodatečně zašifrovány a pouze první dva bajty hashe jsou ponechány pro indexování. Konečné ověření hashů, které spadají pod přenášený dvoubajtový prefix, se provádí na straně uživatele pomocí kryptografické technologie““, ve kterém žádná ze stran nezná obsah kontrolovaných údajů. Pro ochranu před zjištěním obsahu databáze kompromitovaných účtů hrubou silou s požadavkem na libovolné předčíslí jsou přenášená data šifrována ve spojení s klíčem vygenerovaným na základě ověřené kombinace loginu a hesla.
Zdroj: opennet.ru