Google σχετικά με την αλλαγή της προσέγγισης για την επεξεργασία μικτού περιεχομένου σε σελίδες που ανοίγονται μέσω HTTPS. Προηγουμένως, εάν υπήρχαν στοιχεία σε σελίδες που ανοίχτηκαν μέσω HTTPS και φορτώνονταν χωρίς κρυπτογράφηση (μέσω του πρωτοκόλλου http://), εμφανιζόταν μια ειδική ένδειξη. Στο μέλλον, έχει αποφασιστεί να αποκλειστεί η φόρτωση τέτοιων πόρων από προεπιλογή. Έτσι, οι σελίδες που ανοίγουν μέσω "https://" θα είναι εγγυημένο ότι περιέχουν μόνο πόρους που έχουν ληφθεί μέσω ενός ασφαλούς καναλιού επικοινωνίας.
Σημειώνεται ότι αυτή τη στιγμή πάνω από το 90% των ιστοτόπων ανοίγουν από χρήστες του Chrome χρησιμοποιώντας HTTPS. Η παρουσία ένθετων φορτωμένων χωρίς κρυπτογράφηση δημιουργεί απειλές για την ασφάλεια μέσω της τροποποίησης μη προστατευμένου περιεχομένου, εάν υπάρχει έλεγχος στο κανάλι επικοινωνίας (για παράδειγμα, κατά τη σύνδεση μέσω ανοιχτού Wi-Fi). Ο δείκτης μικτού περιεχομένου βρέθηκε αναποτελεσματικός και παραπλανητικός για τον χρήστη, καθώς δεν παρέχει σαφή αξιολόγηση της ασφάλειας της σελίδας.
Επί του παρόντος, οι πιο επικίνδυνοι τύποι μικτού περιεχομένου, όπως τα σενάρια και τα iframes, είναι ήδη αποκλεισμένοι από προεπιλογή, αλλά οι εικόνες, τα αρχεία ήχου και τα βίντεο μπορούν ακόμα να ληφθούν μέσω http://. Μέσω της πλαστογράφησης εικόνων, ένας εισβολέας μπορεί να αντικαταστήσει τα cookies παρακολούθησης χρηστών, να προσπαθήσει να εκμεταλλευτεί ευπάθειες σε επεξεργαστές εικόνας ή να διαπράξει πλαστογραφία αντικαθιστώντας τις πληροφορίες που παρέχονται στην εικόνα.
Η εισαγωγή του αποκλεισμού χωρίζεται σε διάφορα στάδια. Το Chrome 79, που έχει προγραμματιστεί για τις 10 Δεκεμβρίου, θα διαθέτει μια νέα ρύθμιση που θα σας επιτρέπει να απενεργοποιήσετε τον αποκλεισμό για συγκεκριμένους ιστότοπους. Αυτή η ρύθμιση θα εφαρμοστεί σε μικτό περιεχόμενο που είναι ήδη αποκλεισμένο, όπως σενάρια και iframes, και θα καλείται μέσω του μενού που εμφανίζεται όταν κάνετε κλικ στο σύμβολο κλειδώματος, αντικαθιστώντας την προηγουμένως προτεινόμενη ένδειξη για την απενεργοποίηση του αποκλεισμού.
Το Chrome 80, το οποίο αναμένεται στις 4 Φεβρουαρίου, θα χρησιμοποιήσει ένα σύστημα soft blocking για αρχεία ήχου και βίντεο, που συνεπάγεται αυτόματη αντικατάσταση των συνδέσμων http:// με https://, το οποίο θα διατηρήσει τη λειτουργικότητα εάν ο προβληματικός πόρος είναι επίσης προσβάσιμος μέσω HTTPS . Οι εικόνες θα συνεχίσουν να φορτώνονται χωρίς αλλαγές, αλλά εάν ληφθούν μέσω http://, οι σελίδες https:// θα εμφανίσουν μια ένδειξη ανασφαλούς σύνδεσης για ολόκληρη τη σελίδα. Για αυτόματη αλλαγή σε https ή αποκλεισμό εικόνων, οι προγραμματιστές ιστότοπων θα μπορούν να χρησιμοποιούν τις ιδιότητες CSP αναβάθμιση-ασφαλή-αιτήματα και αποκλεισμό όλων των μικτών περιεχομένων. Το Chrome 81, που έχει προγραμματιστεί για τις 17 Μαρτίου, θα διορθώσει αυτόματα το http:// σε https:// για μικτές μεταφορτώσεις εικόνων.
Επιπλέον, η Google σχετικά με την ενσωμάτωση σε μία από τις επόμενες εκδόσεις του προγράμματος περιήγησης Chome του νέου στοιχείου Password Checkup, προηγουμένως με τη μορφή . Η ενσωμάτωση θα οδηγήσει στην εμφάνιση στον κανονικό διαχειριστή κωδικών πρόσβασης του Chrome εργαλείων για την ανάλυση της αξιοπιστίας των κωδικών πρόσβασης που χρησιμοποιεί ο χρήστης. Όταν προσπαθείτε να συνδεθείτε σε οποιονδήποτε ιστότοπο, τα στοιχεία σύνδεσης και ο κωδικός πρόσβασής σας θα ελεγχθούν σε μια βάση δεδομένων με παραβιασμένους λογαριασμούς, με μια προειδοποίηση που θα εμφανίζεται εάν εντοπιστούν προβλήματα. Ο έλεγχος πραγματοποιείται σε βάση δεδομένων που καλύπτει περισσότερους από 4 δισεκατομμύρια παραβιασμένους λογαριασμούς που εμφανίζονταν σε βάσεις δεδομένων χρηστών που διέρρευσαν. Θα εμφανιστεί επίσης μια προειδοποίηση εάν προσπαθήσετε να χρησιμοποιήσετε ασήμαντους κωδικούς πρόσβασης όπως "abc123" (από Google Το 23% των Αμερικανών χρησιμοποιούν παρόμοιους κωδικούς πρόσβασης) ή όταν χρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους.
Για τη διατήρηση της εμπιστευτικότητας, κατά την πρόσβαση σε ένα εξωτερικό API, μεταδίδονται μόνο τα δύο πρώτα byte του κατακερματισμού της σύνδεσης και του κωδικού πρόσβασης (χρησιμοποιείται ο αλγόριθμος κατακερματισμού ). Ο πλήρης κατακερματισμός είναι κρυπτογραφημένος με ένα κλειδί που δημιουργείται από την πλευρά του χρήστη. Οι αρχικοί κατακερματισμοί στη βάση δεδομένων της Google είναι επίσης κρυπτογραφημένοι και μόνο τα δύο πρώτα byte του κατακερματισμού απομένουν για ευρετηρίαση. Η τελική επαλήθευση των κατακερματισμών που εμπίπτουν στο μεταδιδόμενο πρόθεμα δύο byte πραγματοποιείται από την πλευρά του χρήστη χρησιμοποιώντας τεχνολογία κρυπτογράφησης "», στην οποία κανένα μέρος δεν γνωρίζει το περιεχόμενο των δεδομένων που ελέγχονται. Για προστασία από το περιεχόμενο μιας βάσης δεδομένων παραβιασμένων λογαριασμών που καθορίζονται με ωμή βία με αίτημα για αυθαίρετα προθέματα, τα μεταδιδόμενα δεδομένα κρυπτογραφούνται σε συνδυασμό με ένα κλειδί που δημιουργείται με βάση έναν επαληθευμένο συνδυασμό σύνδεσης και κωδικού πρόσβασης.
Πηγή: opennet.ru