گوگل در مورد تغییر رویکرد پردازش محتوای ترکیبی در صفحات باز شده از طریق HTTPS. قبلاً، اگر اجزایی در صفحات باز شده از طریق HTTPS وجود داشت که بدون رمزگذاری بارگیری می شدند (از طریق پروتکل http://)، یک نشانگر ویژه نمایش داده می شد. در آینده تصمیم گرفته شده است که بارگذاری چنین منابعی به صورت پیش فرض مسدود شود. بنابراین، صفحات باز شده از طریق "https://" تضمین می شود که فقط حاوی منابعی هستند که از طریق یک کانال ارتباطی امن دانلود شده اند.
خاطرنشان می شود که در حال حاضر بیش از 90٪ سایت ها توسط کاربران کروم با استفاده از HTTPS باز می شوند. وجود درجهایی که بدون رمزگذاری بارگذاری شدهاند، تهدیدات امنیتی را از طریق اصلاح محتوای محافظتنشده در صورت کنترل کانال ارتباطی (مثلاً هنگام اتصال از طریق Wi-Fi باز) ایجاد میکند. نشانگر محتوای مختلط برای کاربر ناکارآمد و گمراه کننده است، زیرا ارزیابی واضحی از امنیت صفحه ارائه نمی دهد.
در حال حاضر، خطرناکترین انواع محتوای ترکیبی، مانند اسکریپتها و آیفریمها، قبلاً بهطور پیشفرض مسدود شدهاند، اما همچنان میتوان تصاویر، فایلهای صوتی و ویدیوها را از طریق http:// دانلود کرد. از طریق جعل تصویر، مهاجم میتواند کوکیهای ردیابی کاربر را جایگزین کند، سعی کند از آسیبپذیریها در پردازشگرهای تصویر سوء استفاده کند یا با جایگزین کردن اطلاعات ارائه شده در تصویر، جعل کند.
معرفی انسداد به چند مرحله تقسیم می شود. کروم 79، که برای 10 دسامبر برنامه ریزی شده است، دارای تنظیمات جدیدی است که به شما امکان می دهد مسدود کردن سایت های خاص را غیرفعال کنید. این تنظیم برای محتوای ترکیبی که قبلاً مسدود شده است، مانند اسکریپتها و iframes اعمال میشود، و از طریق منویی که با کلیک بر روی نماد قفل باز میشود، فراخوانی میشود، و جایگزین نشانگر پیشنهادی قبلی برای غیرفعال کردن مسدود کردن میشود.
کروم 80، که در 4 فوریه پیش بینی می شود، از یک طرح مسدود کردن نرم برای فایل های صوتی و تصویری استفاده می کند که به معنای جایگزینی خودکار پیوندهای http:// با https:// است، که در صورت دسترسی به منبع مشکل از طریق HTTPS، عملکرد را حفظ می کند. . تصاویر بدون تغییر به بارگیری ادامه میدهند، اما اگر از طریق http:// دانلود شوند، صفحات https:// نشانگر اتصال ناامن برای کل صفحه نمایش داده میشوند. برای تغییر خودکار به https یا مسدود کردن تصاویر، توسعهدهندگان سایت میتوانند از ویژگیهای CSP ارتقاء-ناامن-درخواستها و مسدود کردن تمام محتوای ترکیبی استفاده کنند. Chrome 81، که برای 17 مارس برنامه ریزی شده است، http:// را به https:// برای آپلود تصاویر مختلط تصحیح می کند.
علاوه بر این، گوگل در مورد ادغام در یکی از نسخه های بعدی مرورگر Chome مولفه جدید Password Checkup، قبلا به شکل . ادغام منجر به ظاهر شدن ابزارهایی برای تجزیه و تحلیل قابلیت اطمینان رمزهای عبور استفاده شده توسط کاربر در مدیر رمز عبور عادی کروم می شود. هنگامی که سعی می کنید وارد هر سایتی شوید، لاگین و رمز عبور شما با پایگاه داده حساب های در معرض خطر بررسی می شود و در صورت شناسایی مشکل، هشداری نمایش داده می شود. این بررسی در برابر پایگاه داده ای انجام می شود که بیش از 4 میلیارد حساب در معرض خطر را پوشش می دهد که در پایگاه داده های کاربران لو رفته ظاهر شده اند. همچنین در صورت استفاده از رمزهای عبور بی اهمیت مانند "abc123" (توسط گوگل 23 درصد از آمریکایی ها از رمزهای عبور مشابه استفاده می کنند)، یا زمانی که از یک رمز عبور در چندین سایت استفاده می کنند.
برای حفظ محرمانه بودن، هنگام دسترسی به یک API خارجی، فقط دو بایت اول هش ورود و رمز عبور منتقل می شود (الگوریتم هش استفاده می شود. ). هش کامل با یک کلید تولید شده در سمت کاربر رمزگذاری می شود. هشهای اصلی در پایگاه داده گوگل نیز بهعلاوه رمزگذاری شدهاند و تنها دو بایت اول هش برای فهرستسازی باقی مانده است. تأیید نهایی هش هایی که تحت پیشوند دو بایتی ارسال شده قرار می گیرند با استفاده از فناوری رمزنگاری در سمت کاربر انجام می شود."، که در آن هیچ یک از طرفین از محتوای داده های در حال بررسی اطلاعی ندارند. برای محافظت در برابر محتویات یک پایگاه داده از حسابهای در معرض خطر که با استفاده از زور وحشیانه با درخواست پیشوندهای دلخواه تعیین میشوند، دادههای ارسال شده در ارتباط با کلیدی که بر اساس ترکیب تأیید شده ورود و رمز عبور ایجاد میشود، رمزگذاری میشوند.
منبع: opennet.ru