Google
Es wird darauf hingewiesen, dass derzeit mehr als 90 % der Websites von Chrome-Benutzern über HTTPS geöffnet werden. Das Vorhandensein von unverschlüsselt geladenen Einfügungen stellt Sicherheitsbedrohungen durch die Änderung ungeschützter Inhalte dar, wenn die Kontrolle über den Kommunikationskanal besteht (z. B. bei einer Verbindung über offenes WLAN). Der Mixed-Content-Indikator erwies sich als unwirksam und für den Nutzer irreführend, da er keine klare Einschätzung der Sicherheit der Seite liefert.
Derzeit sind die gefährlichsten Arten gemischter Inhalte wie Skripte und Iframes bereits standardmäßig blockiert, Bilder, Audiodateien und Videos können jedoch weiterhin über http:// heruntergeladen werden. Durch Bild-Spoofing kann ein Angreifer Cookies zur Benutzerverfolgung ersetzen, versuchen, Schwachstellen in Bildprozessoren auszunutzen, oder eine Fälschung begehen, indem er die im Bild bereitgestellten Informationen ersetzt.
Die Einführung der Sperrung gliedert sich in mehrere Stufen. Chrome 79, geplant für den 10. Dezember, wird eine neue Einstellung enthalten, mit der Sie die Blockierung für bestimmte Websites deaktivieren können. Diese Einstellung wird auf gemischte Inhalte angewendet, die bereits blockiert sind, wie z. B. Skripte und Iframes, und wird über das Dropdown-Menü aufgerufen, wenn Sie auf das Schlosssymbol klicken, und ersetzt den zuvor vorgeschlagenen Indikator zur Deaktivierung der Blockierung.
Chrome 80, das für den 4. Februar erwartet wird, wird ein Soft-Blocking-Schema für Audio- und Videodateien verwenden, das eine automatische Ersetzung von http://-Links durch https:// impliziert, wodurch die Funktionalität erhalten bleibt, wenn auf die problematische Ressource auch über HTTPS zugegriffen werden kann . Bilder werden weiterhin ohne Änderungen geladen, aber wenn sie über http:// heruntergeladen werden, wird auf den https://-Seiten für die gesamte Seite ein Hinweis auf eine unsichere Verbindung angezeigt. Um automatisch zu https zu wechseln oder Bilder zu blockieren, können Website-Entwickler die CSP-Eigenschaften „upgrade-insecure-requests“ und „block-all-mixed-content“ verwenden. Chrome 81 ist für den 17. März geplant und korrigiert http:// automatisch zu https:// für gemischte Bild-Uploads.
Darüber hinaus Google
Um die Vertraulichkeit zu wahren, werden beim Zugriff auf eine externe API nur die ersten beiden Bytes des Hashs von Login und Passwort übertragen (es wird der Hashing-Algorithmus verwendet).
Source: opennet.ru