Google ynghylch newid y dull o brosesu cynnwys cymysg ar dudalennau a agorwyd trwy HTTPS. Yn flaenorol, pe bai cydrannau ar dudalennau wedi'u hagor trwy HTTPS a lwythwyd o heb amgryptio (trwy'r protocol http://), dangoswyd dangosydd arbennig. Yn y dyfodol, penderfynwyd rhwystro llwytho adnoddau o'r fath yn ddiofyn. Felly, bydd tudalennau sy'n cael eu hagor trwy “https://” yn cael eu gwarantu i gynnwys adnoddau sy'n cael eu lawrlwytho trwy sianel gyfathrebu ddiogel yn unig.
Nodir bod mwy na 90% o wefannau ar hyn o bryd yn cael eu hagor gan ddefnyddwyr Chrome gan ddefnyddio HTTPS. Mae presenoldeb mewnosodiadau wedi'u llwytho heb amgryptio yn creu bygythiadau diogelwch trwy addasu cynnwys heb ei amddiffyn os oes rheolaeth dros y sianel gyfathrebu (er enghraifft, wrth gysylltu trwy Wi-Fi agored). Canfuwyd bod y dangosydd cynnwys cymysg yn aneffeithiol ac yn gamarweiniol i'r defnyddiwr, gan nad yw'n rhoi asesiad clir o ddiogelwch y dudalen.
Ar hyn o bryd, mae'r mathau mwyaf peryglus o gynnwys cymysg, fel sgriptiau ac iframes, eisoes wedi'u rhwystro'n ddiofyn, ond gellir dal i lawrlwytho delweddau, ffeiliau sain a fideos trwy http://. Trwy ffugio delweddau, gall ymosodwr gymryd lle Cwcis olrhain defnyddwyr, ceisio manteisio ar wendidau mewn proseswyr delwedd, neu ffugio trwy ddisodli'r wybodaeth a ddarperir yn y ddelwedd.
Mae cyflwyniad y blocio wedi'i rannu'n sawl cam. Bydd Chrome 79, sydd wedi'i osod ar gyfer Rhagfyr 10th, yn cynnwys gosodiad newydd a fydd yn caniatáu ichi analluogi blocio ar gyfer gwefannau penodol. Bydd y gosodiad hwn yn cael ei gymhwyso i gynnwys cymysg sydd eisoes wedi'i rwystro, fel sgriptiau ac iframes, a bydd yn cael ei alw i fyny trwy'r ddewislen sy'n disgyn i lawr pan fyddwch chi'n clicio ar y symbol clo, gan ddisodli'r dangosydd a gynigiwyd yn flaenorol ar gyfer analluogi blocio.
Bydd Chrome 80, a ddisgwylir ar Chwefror 4, yn defnyddio cynllun blocio meddal ar gyfer ffeiliau sain a fideo, sy'n awgrymu ailosod cysylltiadau http:// yn awtomatig â https://, a fydd yn cadw ymarferoldeb os yw'r adnodd problemus hefyd ar gael trwy HTTPS . Bydd delweddau'n parhau i lwytho heb newidiadau, ond os cânt eu llwytho i lawr trwy http://, bydd y tudalennau https:// yn dangos dangosydd cysylltiad ansicr ar gyfer y dudalen gyfan. I newid yn awtomatig i https neu rwystro delweddau, bydd datblygwyr gwefan yn gallu defnyddio'r eiddo CSP uwchraddio-ceisiadau ansicr a bloc-holl-gymysg-cynnwys. Bydd Chrome 81, sydd wedi'i drefnu ar gyfer Mawrth 17, yn cywiro'n awtomatig http:// i https:// ar gyfer uwchlwythiadau delwedd gymysg.
Yn ogystal, mae Google ynghylch integreiddio'r elfen Gwirio Cyfrinair newydd yn un o ddatganiadau nesaf porwr Chome, yn flaenorol ar y ffurf . Bydd integreiddio yn arwain at ymddangosiad yn y rheolwr cyfrinair Chrome rheolaidd o offer ar gyfer dadansoddi dibynadwyedd y cyfrineiriau a ddefnyddir gan y defnyddiwr. Pan fyddwch chi'n ceisio mewngofnodi i unrhyw wefan, bydd eich mewngofnodi a'ch cyfrinair yn cael eu gwirio yn erbyn cronfa ddata o gyfrifon dan fygythiad, gyda rhybudd yn cael ei arddangos os canfyddir problemau. Gwneir y gwiriad yn erbyn cronfa ddata sy'n cwmpasu mwy na 4 biliwn o gyfrifon dan fygythiad a ymddangosodd mewn cronfeydd data defnyddwyr a ddatgelwyd. Bydd rhybudd hefyd yn cael ei arddangos os ceisiwch ddefnyddio cyfrineiriau dibwys fel "abc123" (gan Google Mae 23% o Americanwyr yn defnyddio cyfrineiriau tebyg), neu wrth ddefnyddio'r un cyfrinair ar sawl safle.
Er mwyn cynnal cyfrinachedd, wrth gyrchu API allanol, dim ond y ddau beit cyntaf o hash y mewngofnodi a'r cyfrinair sy'n cael eu trosglwyddo (defnyddir yr algorithm stwnsio ). Mae'r hash llawn wedi'i amgryptio gydag allwedd a gynhyrchir ar ochr y defnyddiwr. Mae'r hashes gwreiddiol yng nghronfa ddata Google hefyd wedi'u hamgryptio a dim ond y ddau beit cyntaf o'r hash sydd ar ôl i'w mynegeio. Mae'r gwiriad terfynol o hashes sy'n dod o dan y rhagddodiad dau-beit a drosglwyddir yn cael ei wneud ar ochr y defnyddiwr gan ddefnyddio technoleg cryptograffig "“, lle nad yw'r naill barti na'r llall yn gwybod cynnwys y data sy'n cael ei wirio. Er mwyn amddiffyn rhag cynnwys cronfa ddata o gyfrifon dan fygythiad yn cael ei bennu gan rym 'n Ysgrublaidd gyda chais am rhagddodiaid mympwyol, mae'r data a drosglwyddir yn cael ei amgryptio mewn cysylltiad ag allwedd a gynhyrchir ar sail cyfuniad wedi'i ddilysu o fewngofnodi a chyfrinair.
Ffynhonnell: opennet.ru