Google
On huomattava, että tällä hetkellä yli 90 prosenttia sivustoista avataan Chromen käyttäjillä HTTPS:n avulla. Ilman salausta ladattujen lisäosien läsnäolo luo turvallisuusuhkia suojaamattoman sisällön muokkaamisen vuoksi, jos viestintäkanavaa voidaan hallita (esimerkiksi muodostettaessa yhteys avoimen Wi-Fi-yhteyden kautta). Sekasisältöisen osoittimen todettiin olevan tehoton ja käyttäjää harhaanjohtava, koska se ei anna selkeää arviota sivun turvallisuudesta.
Tällä hetkellä vaarallisimmat sekasisällön tyypit, kuten komentosarjat ja iframe-kehykset, on jo oletusarvoisesti estetty, mutta kuvia, äänitiedostoja ja videoita voi silti ladata http://-osoitteen kautta. Kuvien huijauksen avulla hyökkääjä voi korvata käyttäjän seurantaevästeet, yrittää hyödyntää kuvankäsittelylaitteiden haavoittuvuuksia tai tehdä väärennöksiä korvaamalla kuvan sisältämät tiedot.
Eston käyttöönotto on jaettu useisiin vaiheisiin. Chrome 79, joka on suunniteltu julkaistavaksi 10. joulukuuta, sisältää uuden asetuksen, jonka avulla voit poistaa tiettyjen sivustojen eston käytöstä. Tätä asetusta sovelletaan sekoitettuun sisältöön, joka on jo estetty, kuten komentosarjat ja iframe-kehykset, ja se avautuu valikon kautta, joka avautuu, kun napsautat lukkokuvaketta, ja se korvaa aiemmin ehdotetun eston poistamisen osoittimen.
Chrome 80, jonka odotetaan valmistuvan 4. helmikuuta, käyttää pehmeää estojärjestelmää ääni- ja videotiedostoille, mikä tarkoittaa, että http://-linkit korvataan automaattisesti https://:llä, mikä säilyttää toiminnallisuuden, jos ongelmallinen resurssi on käytettävissä myös HTTPS:n kautta. . Kuvien lataaminen jatkuu ilman muutoksia, mutta jos ne ladataan http://-osoitteen kautta, https://-sivuilla näkyy suojaamattoman yhteyden ilmaisin koko sivulle. Sivuston kehittäjät voivat vaihtaa automaattisesti https-muotoon tai estää kuvien käytön käyttämällä CSP-ominaisuuksien päivitys-insecure-requests ja block-all-mixed-content. Chrome 81, joka on suunniteltu julkaistavaksi 17. maaliskuuta, korjaa automaattisesti http://:n https://:ksi sekalaisten kuvien latauksissa.
Lisäksi Google
Luottamuksellisuuden säilyttämiseksi ulkoista APIa käytettäessä vain kirjautumistunnuksen ja salasanan tiivisteen kaksi ensimmäistä tavua lähetetään (käytetään hajautusalgoritmia
Lähde: opennet.ru