گوگل
خاطرنشان می شود که در حال حاضر بیش از 90٪ سایت ها توسط کاربران کروم با استفاده از HTTPS باز می شوند. وجود درجهایی که بدون رمزگذاری بارگذاری شدهاند، تهدیدات امنیتی را از طریق اصلاح محتوای محافظتنشده در صورت کنترل کانال ارتباطی (مثلاً هنگام اتصال از طریق Wi-Fi باز) ایجاد میکند. نشانگر محتوای مختلط برای کاربر ناکارآمد و گمراه کننده است، زیرا ارزیابی واضحی از امنیت صفحه ارائه نمی دهد.
در حال حاضر، خطرناکترین انواع محتوای ترکیبی، مانند اسکریپتها و آیفریمها، قبلاً بهطور پیشفرض مسدود شدهاند، اما همچنان میتوان تصاویر، فایلهای صوتی و ویدیوها را از طریق http:// دانلود کرد. از طریق جعل تصویر، مهاجم میتواند کوکیهای ردیابی کاربر را جایگزین کند، سعی کند از آسیبپذیریها در پردازشگرهای تصویر سوء استفاده کند یا با جایگزین کردن اطلاعات ارائه شده در تصویر، جعل کند.
معرفی انسداد به چند مرحله تقسیم می شود. کروم 79، که برای 10 دسامبر برنامه ریزی شده است، دارای تنظیمات جدیدی است که به شما امکان می دهد مسدود کردن سایت های خاص را غیرفعال کنید. این تنظیم برای محتوای ترکیبی که قبلاً مسدود شده است، مانند اسکریپتها و iframes اعمال میشود، و از طریق منویی که با کلیک بر روی نماد قفل باز میشود، فراخوانی میشود، و جایگزین نشانگر پیشنهادی قبلی برای غیرفعال کردن مسدود کردن میشود.
کروم 80، که در 4 فوریه پیش بینی می شود، از یک طرح مسدود کردن نرم برای فایل های صوتی و تصویری استفاده می کند که به معنای جایگزینی خودکار پیوندهای http:// با https:// است، که در صورت دسترسی به منبع مشکل از طریق HTTPS، عملکرد را حفظ می کند. . تصاویر بدون تغییر به بارگیری ادامه میدهند، اما اگر از طریق http:// دانلود شوند، صفحات https:// نشانگر اتصال ناامن برای کل صفحه نمایش داده میشوند. برای تغییر خودکار به https یا مسدود کردن تصاویر، توسعهدهندگان سایت میتوانند از ویژگیهای CSP ارتقاء-ناامن-درخواستها و مسدود کردن تمام محتوای ترکیبی استفاده کنند. Chrome 81، که برای 17 مارس برنامه ریزی شده است، http:// را به https:// برای آپلود تصاویر مختلط تصحیح می کند.
علاوه بر این، گوگل
برای حفظ محرمانه بودن، هنگام دسترسی به یک API خارجی، فقط دو بایت اول هش ورود و رمز عبور منتقل می شود (الگوریتم هش استفاده می شود.
منبع: opennet.ru