Google sobre la disponibilidad de protección contra envíos de formularios web inseguros en una versión futura de Chrome 86. La protección se refiere a los formularios que se muestran en páginas cargadas a través de HTTPS, pero que envían datos sin cifrado a través de HTTP, lo que crea la amenaza de interceptación y suplantación de datos durante los ataques MITM. Para estos formularios web mixtos, se han implementado tres cambios:
- Se ha deshabilitado el autocompletar de cualquier formulario de entrada mixta, de manera similar a como se deshabilitó el autocompletar de formularios de autenticación en páginas abiertas a través de HTTP durante bastante tiempo. Si antes una señal de deshabilitación era abrir una página con un formulario a través de HTTPS o HTTP, ahora también se tendrá en cuenta el uso de cifrado al enviar datos al controlador de formulario. El administrador de contraseñas, que permite el uso de contraseñas seguras y únicas para formas mixtas de autenticación, no se desactivará, ya que el riesgo de utilizar una contraseña insegura y reutilizarla en diferentes sitios supera el riesgo de una posible interceptación del tráfico.
- Al comenzar a ingresar formularios mixtos, se mostrará una advertencia informando al usuario que los datos completados se están enviando a través de un canal de comunicación no cifrado.
- Si intenta enviar un formulario mixto, se mostrará una página separada notificándole el riesgo potencial de transmitir datos a través de un canal de comunicación no cifrado. En versiones anteriores, se utilizaba un indicador de candado en el drenaje de direcciones para indicar formas mixtas, pero dicha marca no era obvia para los usuarios y no reflejaba eficazmente los riesgos emergentes.
Fuente: opennet.ru