Google
Det bemærkes, at mere end 90 % af webstederne i øjeblikket åbnes af Chrome-brugere, der bruger HTTPS. Tilstedeværelsen af indsatser indlæst uden kryptering skaber sikkerhedstrusler gennem ændring af ubeskyttet indhold, hvis der er kontrol over kommunikationskanalen (f.eks. når der oprettes forbindelse via åben Wi-Fi). Indikatoren for blandet indhold viste sig at være ineffektiv og vildledende for brugeren, da den ikke giver en klar vurdering af sidens sikkerhed.
I øjeblikket er de farligste typer blandet indhold, såsom scripts og iframes, allerede blokeret som standard, men billeder, lydfiler og videoer kan stadig downloades via http://. Gennem billedspoofing kan en angriber erstatte brugersporingscookies, forsøge at udnytte sårbarheder i billedprocessorer eller begå forfalskning ved at erstatte informationen i billedet.
Indførelsen af blokeringen er opdelt i flere faser. Chrome 79, der er planlagt til den 10. december, vil have en ny indstilling, der giver dig mulighed for at deaktivere blokering for bestemte websteder. Denne indstilling vil blive anvendt på blandet indhold, der allerede er blokeret, såsom scripts og iframes, og vil blive kaldt op gennem menuen, der falder ned, når du klikker på låsesymbolet, og erstatter den tidligere foreslåede indikator for deaktivering af blokering.
Chrome 80, som forventes den 4. februar, vil bruge et blødt blokeringsskema for lyd- og videofiler, hvilket indebærer automatisk udskiftning af http://-links med https://, hvilket vil bevare funktionaliteten, hvis den problematiske ressource også er tilgængelig via HTTPS . Billeder vil fortsætte med at indlæse uden ændringer, men hvis de downloades via http://, vil https://-siderne vise en usikker forbindelsesindikator for hele siden. For automatisk at skifte til https eller blokere billeder, vil webstedsudviklere være i stand til at bruge CSP-egenskaberne upgrade-insecure-requests og block-all-mixed-content. Chrome 81, der er planlagt til den 17. marts, vil automatisk rette http:// til https:// for blandede billeduploads.
Desuden Google
For at bevare fortroligheden, når du får adgang til en ekstern API, overføres kun de første to bytes af hashen af login og adgangskode (hash-algoritmen bruges
Kilde: opennet.ru