Google
Nodir bod mwy na 90% o wefannau ar hyn o bryd yn cael eu hagor gan ddefnyddwyr Chrome gan ddefnyddio HTTPS. Mae presenoldeb mewnosodiadau wedi'u llwytho heb amgryptio yn creu bygythiadau diogelwch trwy addasu cynnwys heb ei amddiffyn os oes rheolaeth dros y sianel gyfathrebu (er enghraifft, wrth gysylltu trwy Wi-Fi agored). Canfuwyd bod y dangosydd cynnwys cymysg yn aneffeithiol ac yn gamarweiniol i'r defnyddiwr, gan nad yw'n rhoi asesiad clir o ddiogelwch y dudalen.
Ar hyn o bryd, mae'r mathau mwyaf peryglus o gynnwys cymysg, fel sgriptiau ac iframes, eisoes wedi'u rhwystro'n ddiofyn, ond gellir dal i lawrlwytho delweddau, ffeiliau sain a fideos trwy http://. Trwy ffugio delweddau, gall ymosodwr gymryd lle Cwcis olrhain defnyddwyr, ceisio manteisio ar wendidau mewn proseswyr delwedd, neu ffugio trwy ddisodli'r wybodaeth a ddarperir yn y ddelwedd.
Mae cyflwyniad y blocio wedi'i rannu'n sawl cam. Bydd Chrome 79, sydd wedi'i osod ar gyfer Rhagfyr 10th, yn cynnwys gosodiad newydd a fydd yn caniatáu ichi analluogi blocio ar gyfer gwefannau penodol. Bydd y gosodiad hwn yn cael ei gymhwyso i gynnwys cymysg sydd eisoes wedi'i rwystro, fel sgriptiau ac iframes, a bydd yn cael ei alw i fyny trwy'r ddewislen sy'n disgyn i lawr pan fyddwch chi'n clicio ar y symbol clo, gan ddisodli'r dangosydd a gynigiwyd yn flaenorol ar gyfer analluogi blocio.
Bydd Chrome 80, a ddisgwylir ar Chwefror 4, yn defnyddio cynllun blocio meddal ar gyfer ffeiliau sain a fideo, sy'n awgrymu ailosod cysylltiadau http:// yn awtomatig â https://, a fydd yn cadw ymarferoldeb os yw'r adnodd problemus hefyd ar gael trwy HTTPS . Bydd delweddau'n parhau i lwytho heb newidiadau, ond os cânt eu llwytho i lawr trwy http://, bydd y tudalennau https:// yn dangos dangosydd cysylltiad ansicr ar gyfer y dudalen gyfan. I newid yn awtomatig i https neu rwystro delweddau, bydd datblygwyr gwefan yn gallu defnyddio'r eiddo CSP uwchraddio-ceisiadau ansicr a bloc-holl-gymysg-cynnwys. Bydd Chrome 81, sydd wedi'i drefnu ar gyfer Mawrth 17, yn cywiro'n awtomatig http:// i https:// ar gyfer uwchlwythiadau delwedd gymysg.
Yn ogystal, mae Google
Er mwyn cynnal cyfrinachedd, wrth gyrchu API allanol, dim ond y ddau beit cyntaf o hash y mewngofnodi a'r cyfrinair sy'n cael eu trosglwyddo (defnyddir yr algorithm stwnsio
Ffynhonnell: opennet.ru