Google
Cabe señalar que actualmente los usuarios de Chrome abren más del 90% de los sitios mediante HTTPS. La presencia de insertos cargados sin cifrado crea amenazas a la seguridad al modificar contenido desprotegido si hay control sobre el canal de comunicación (por ejemplo, cuando se conecta a través de Wi-Fi abierto). Se consideró que el indicador de contenido mixto era ineficaz y engañoso para el usuario, ya que no proporciona una evaluación clara de la seguridad de la página.
Actualmente, los tipos más peligrosos de contenido mixto, como scripts e iframes, ya están bloqueados de forma predeterminada, pero aún se pueden descargar imágenes, archivos de audio y vídeos a través de http://. Mediante la suplantación de imágenes, un atacante puede sustituir las cookies de seguimiento del usuario, intentar explotar vulnerabilidades en los procesadores de imágenes o cometer falsificación reemplazando la información proporcionada en la imagen.
La introducción del bloqueo se divide en varias etapas. Chrome 79, programado para el 10 de diciembre, incluirá una nueva configuración que le permitirá desactivar el bloqueo de sitios específicos. Esta configuración se aplicará al contenido mixto que ya está bloqueado, como scripts e iframes, y se abrirá a través del menú desplegable al hacer clic en el símbolo de candado, reemplazando el indicador propuesto anteriormente para deshabilitar el bloqueo.
Chrome 80, que se espera para el 4 de febrero, utilizará un esquema de bloqueo suave para archivos de audio y video, lo que implica el reemplazo automático de enlaces http:// con https://, lo que preservará la funcionalidad si el recurso problemático también es accesible a través de HTTPS. . Las imágenes seguirán cargándose sin cambios, pero si se descargan a través de http://, las páginas https:// mostrarán un indicador de conexión insegura para toda la página. Para cambiar automáticamente a https o bloquear imágenes, los desarrolladores del sitio podrán utilizar las propiedades CSP de solicitudes de actualización inseguras y bloquear todo el contenido mixto. Chrome 81, programado para el 17 de marzo, corregirá automáticamente http:// a https:// para cargas de imágenes mixtas.
Además, Google
Para mantener la confidencialidad, al acceder a una API externa, solo se transmiten los dos primeros bytes del hash del inicio de sesión y la contraseña (se utiliza el algoritmo hash
Fuente: opennet.ru