Google HTTPS-i kaudu avatud lehtede segasisu töötlemise lähenemisviisi muutmise kohta. Varem, kui HTTPS-i kaudu avatud lehtedel oli komponente, mis laaditi ilma krüptimiseta (protokolli http:// kaudu), kuvati spetsiaalne indikaator. Edaspidi on otsustatud selliste ressursside laadimine vaikimisi blokeerida. Seega tagatakse, et https:// kaudu avatud lehed sisaldavad ainult turvalise sidekanali kaudu allalaaditud ressursse.
Märgitakse, et praegu avavad enam kui 90% saitidest Chrome'i kasutajad HTTPS-i abil. Ilma krüptimiseta laaditud lisade olemasolu tekitab kaitsmata sisu muutmise kaudu turvaohte, kui sidekanali üle on kontroll (näiteks avatud WiFi kaudu ühenduse loomisel). Segasisu indikaator leiti olevat ebaefektiivne ja kasutajat eksitav, kuna see ei anna selget hinnangut lehe turvalisusele.
Praegu on kõige ohtlikumad segasisu tüübid, nagu skriptid ja iframe'id, juba vaikimisi blokeeritud, kuid pilte, helifaile ja videoid saab siiski alla laadida http:// kaudu. Piltide võltsimise kaudu saab ründaja asendada kasutajate jälgimisküpsiseid, proovida ära kasutada pildiprotsessorite turvaauke või sooritada võltsimist, asendades pildil oleva teabe.
Blokeerimise kasutuselevõtt on jagatud mitmeks etapiks. Chrome 79, mis on kavandatud 10. detsembriks, sisaldab uut seadet, mis võimaldab teil teatud saitide blokeerimise keelata. Seda sätet rakendatakse segasisule, mis on juba blokeeritud, nagu skriptid ja iframe'id, ning see kuvatakse menüü kaudu, mis avaneb lukusümbolil klõpsamisel, asendades varem pakutud blokeerimise keelamise indikaatori.
Chrome 80, mida oodatakse 4. veebruaril, kasutab heli- ja videofailide jaoks pehmet blokeerimisskeemi, mis tähendab http:// linkide automaatset asendamist https://-ga, mis säilitab funktsionaalsuse, kui probleemsele ressursile on juurdepääs ka HTTPS-i kaudu . Piltide laadimine jätkub ilma muudatusteta, kuid kui laadite alla http:// kaudu, kuvatakse https:// lehtedel kogu lehe kohta ebaturvalise ühenduse indikaator. Automaatseks https-ile üleminekuks või piltide blokeerimiseks saavad saidi arendajad kasutada CSP atribuutide uuendusi-ebaturvalised-päringud ja blokeeri-kõik-mix-sisu. Chrome 81, mis on kavandatud ilmuma 17. märtsil, parandab segakujuliste piltide üleslaadimisel automaatselt http:// väärtuseks https://.
Lisaks Google uue paroolikontrolli komponendi integreerimisest ühte järgmistest Chome'i brauseri väljaannetest nagu . Integreerimine toob kaasa tööriistade ilmumise tavalisse Chrome'i paroolihaldurisse kasutaja kasutatavate paroolide usaldusväärsuse analüüsimiseks. Kui proovite mõnele saidile sisse logida, kontrollitakse teie sisselogimist ja parooli ohtu sattunud kontode andmebaasis ning probleemide tuvastamisel kuvatakse hoiatus. Kontrollitakse andmebaasi, mis hõlmab enam kui 4 miljardit ohustatud kontot, mis ilmusid lekkinud kasutajate andmebaasides. Hoiatus kuvatakse ka siis, kui proovite kasutada triviaalseid paroole nagu "abc123" (autor Google 23% ameeriklastest kasutab sarnaseid paroole) või kui kasutavad sama parooli mitmel saidil.
Konfidentsiaalsuse säilitamiseks edastatakse välisele API-le juurdepääsul ainult kaks esimest baiti sisselogimise ja parooli räsist (kasutatakse räsimise algoritmi ). Täielik räsi krüpteeritakse kasutaja poolel genereeritud võtmega. Google'i andmebaasis olevad algsed räsid on samuti täiendavalt krüptitud ja räsist jäävad indekseerimiseks vaid kaks esimest baiti. Edastatud kahebaidise prefiksi alla kuuluvate räside lõplik kontrollimine toimub kasutaja poolel krüptograafilise tehnoloogia abil.“, milles kumbki osapool ei tea kontrollitavate andmete sisu. Et kaitsta rünnatud kontode andmebaasi sisu jõhkra jõuga kindlaksmääramise eest suvaliste eesliidete nõudega, krüpteeritakse edastatavad andmed võtmega, mis genereeritakse sisselogimise ja parooli kontrollitud kombinatsiooni alusel.
Allikas: opennet.ru