Google
Märgitakse, et praegu avavad enam kui 90% saitidest Chrome'i kasutajad HTTPS-i abil. Ilma krüptimiseta laaditud lisade olemasolu tekitab kaitsmata sisu muutmise kaudu turvaohte, kui sidekanali üle on kontroll (näiteks avatud WiFi kaudu ühenduse loomisel). Segasisu indikaator leiti olevat ebaefektiivne ja kasutajat eksitav, kuna see ei anna selget hinnangut lehe turvalisusele.
Praegu on kõige ohtlikumad segasisu tüübid, nagu skriptid ja iframe'id, juba vaikimisi blokeeritud, kuid pilte, helifaile ja videoid saab siiski alla laadida http:// kaudu. Piltide võltsimise kaudu saab ründaja asendada kasutajate jälgimisküpsiseid, proovida ära kasutada pildiprotsessorite turvaauke või sooritada võltsimist, asendades pildil oleva teabe.
Blokeerimise kasutuselevõtt on jagatud mitmeks etapiks. Chrome 79, mis on kavandatud 10. detsembriks, sisaldab uut seadet, mis võimaldab teil teatud saitide blokeerimise keelata. Seda sätet rakendatakse segasisule, mis on juba blokeeritud, nagu skriptid ja iframe'id, ning see kuvatakse menüü kaudu, mis avaneb lukusümbolil klõpsamisel, asendades varem pakutud blokeerimise keelamise indikaatori.
Chrome 80, mida oodatakse 4. veebruaril, kasutab heli- ja videofailide jaoks pehmet blokeerimisskeemi, mis tähendab http:// linkide automaatset asendamist https://-ga, mis säilitab funktsionaalsuse, kui probleemsele ressursile on juurdepääs ka HTTPS-i kaudu . Piltide laadimine jätkub ilma muudatusteta, kuid kui laadite alla http:// kaudu, kuvatakse https:// lehtedel kogu lehe kohta ebaturvalise ühenduse indikaator. Automaatseks https-ile üleminekuks või piltide blokeerimiseks saavad saidi arendajad kasutada CSP atribuutide uuendusi-ebaturvalised-päringud ja blokeeri-kõik-mix-sisu. Chrome 81, mis on kavandatud ilmuma 17. märtsil, parandab segakujuliste piltide üleslaadimisel automaatselt http:// väärtuseks https://.
Lisaks Google
Konfidentsiaalsuse säilitamiseks edastatakse välisele API-le juurdepääsul ainult kaks esimest baiti sisselogimise ja parooli räsist (kasutatakse räsimise algoritmi
Allikas: opennet.ru