Google
Kontuan izan da gaur egun guneen % 90 baino gehiago HTTPS erabiliz Chrome erabiltzaileek irekitzen dituztela. Zifratu gabe kargatutako txertaketak egoteak segurtasun mehatxuak sortzen ditu babesik gabeko edukia aldatzearen bidez, komunikazio-kanalaren gaineko kontrola badago (adibidez, Wi-Fi irekiaren bidez konektatzean). Eduki mistoaren adierazlea eraginkorra eta engainagarria dela ikusi da erabiltzailearentzat, ez baitu orriaren segurtasunaren balorazio argirik ematen.
Gaur egun, eduki misto mota arriskutsuenak, hala nola scriptak eta iframeak, lehenespenez blokeatuta daude dagoeneko, baina irudiak, audio fitxategiak eta bideoak http://-ren bidez deskargatu daitezke oraindik. Irudiaren faltsutzearen bidez, erasotzaileak erabiltzaileen jarraipeneko cookieak ordezkatu ditzake, irudi-prozesadoreetako ahuleziak ustiatzen saiatu edo faltsutzea egin dezake irudian emandako informazioa ordezkatuz.
Blokeoaren sarrera hainbat fasetan banatzen da. Abenduaren 79ean aurreikusita dagoen Chrome 10-k ezarpen berri bat izango du, gune jakin batzuen blokeoa desgaitzeko aukera emango duena. Ezarpen hau dagoeneko blokeatuta dagoen eduki mistoari aplikatuko zaio, hala nola scriptei eta iframeei, eta blokeoaren ikurra sakatzean goitibeherako menuaren bidez deituko da, blokeoa desgaitzeko aldez aurretik proposatutako adierazlea ordezkatuz.
Otsailaren 80an espero den Chrome 4-k audio- eta bideo-fitxategietarako blokeo-eskema leun bat erabiliko du, http:// estekak https://-rekin automatikoki ordezkatuta, eta horrek funtzionaltasuna gordeko du baliabide arazotsua HTTPS bidez ere eskuragarri badago. . Irudiak aldaketarik gabe kargatzen jarraituko du, baina http://-ren bidez deskargatzen badira, https:// orrialdeek konexio seguruaren adierazlea erakutsiko dute orri osorako. https-ra automatikoki aldatzeko edo irudiak blokeatzeko, gunearen garatzaileek CSP propietateak eguneratzeko-seguru-eskaera-eskaerak eta blokeatu-dena-eduki mistoak erabili ahal izango dituzte. Martxoaren 81rako aurreikusita dagoen Chrome 17-ek http://-tik https://-ra automatikoki zuzenduko du irudi mistoak kargatzeko.
Horrez gain, Google
Konfidentzialtasuna mantentzeko, kanpoko API batera sartzean, saio-hasieraren eta pasahitzaren lehen bi byteak soilik transmititzen dira (hashing algoritmoa erabiltzen da.
Iturria: opennet.ru