Google Sekalaisen sisällön käsittelytavan muuttamisesta HTTPS:n kautta avatuilla sivuilla. Aiemmin, jos HTTPS:n kautta avatuilla sivuilla oli komponentteja, jotka ladattiin ilman salausta (http://-protokollan kautta), näytössä oli erityinen ilmaisin. Jatkossa tällaisten resurssien lataaminen on päätetty estää oletusarvoisesti. Siten "https://" kautta avatut sivut sisältävät vain suojatun viestintäkanavan kautta ladattuja resursseja.
On huomattava, että tällä hetkellä yli 90 prosenttia sivustoista avataan Chromen käyttäjillä HTTPS:n avulla. Ilman salausta ladattujen lisäosien läsnäolo luo turvallisuusuhkia suojaamattoman sisällön muokkaamisen vuoksi, jos viestintäkanavaa voidaan hallita (esimerkiksi muodostettaessa yhteys avoimen Wi-Fi-yhteyden kautta). Sekasisältöisen osoittimen todettiin olevan tehoton ja käyttäjää harhaanjohtava, koska se ei anna selkeää arviota sivun turvallisuudesta.
Tällä hetkellä vaarallisimmat sekasisällön tyypit, kuten komentosarjat ja iframe-kehykset, on jo oletusarvoisesti estetty, mutta kuvia, äänitiedostoja ja videoita voi silti ladata http://-osoitteen kautta. Kuvien huijauksen avulla hyökkääjä voi korvata käyttäjän seurantaevästeet, yrittää hyödyntää kuvankäsittelylaitteiden haavoittuvuuksia tai tehdä väärennöksiä korvaamalla kuvan sisältämät tiedot.
Eston käyttöönotto on jaettu useisiin vaiheisiin. Chrome 79, joka on suunniteltu julkaistavaksi 10. joulukuuta, sisältää uuden asetuksen, jonka avulla voit poistaa tiettyjen sivustojen eston käytöstä. Tätä asetusta sovelletaan sekoitettuun sisältöön, joka on jo estetty, kuten komentosarjat ja iframe-kehykset, ja se avautuu valikon kautta, joka avautuu, kun napsautat lukkokuvaketta, ja se korvaa aiemmin ehdotetun eston poistamisen osoittimen.
Chrome 80, jonka odotetaan valmistuvan 4. helmikuuta, käyttää pehmeää estojärjestelmää ääni- ja videotiedostoille, mikä tarkoittaa, että http://-linkit korvataan automaattisesti https://:llä, mikä säilyttää toiminnallisuuden, jos ongelmallinen resurssi on käytettävissä myös HTTPS:n kautta. . Kuvien lataaminen jatkuu ilman muutoksia, mutta jos ne ladataan http://-osoitteen kautta, https://-sivuilla näkyy suojaamattoman yhteyden ilmaisin koko sivulle. Sivuston kehittäjät voivat vaihtaa automaattisesti https-muotoon tai estää kuvien käytön käyttämällä CSP-ominaisuuksien päivitys-insecure-requests ja block-all-mixed-content. Chrome 81, joka on suunniteltu julkaistavaksi 17. maaliskuuta, korjaa automaattisesti http://:n https://:ksi sekalaisten kuvien latauksissa.
Lisäksi Google uuden Password Checkup -komponentin integroimisesta johonkin seuraavista Chome-selaimen julkaisuista muodossa . Integrointi johtaa siihen, että tavalliseen Chromen salasananhallintaohjelmaan tulee työkaluja, jotka analysoivat käyttäjän käyttämien salasanojen luotettavuutta. Kun yrität kirjautua mille tahansa sivustolle, kirjautumistunnuksesi ja salasanasi verrataan vaarantuneiden tilien tietokantaan, ja näyttöön tulee varoitus, jos ongelmia havaitaan. Tarkastus suoritetaan tietokannassa, joka kattaa yli 4 miljardia vaarantunutta tiliä, jotka esiintyivät vuotaneissa käyttäjätietokantoissa. Varoitus näytetään myös, jos yrität käyttää triviaaleja salasanoja, kuten "abc123" (by Google 23 % amerikkalaisista käyttää samanlaisia salasanoja) tai kun käyttää samaa salasanaa useilla sivustoilla.
Luottamuksellisuuden säilyttämiseksi ulkoista APIa käytettäessä vain kirjautumistunnuksen ja salasanan tiivisteen kaksi ensimmäistä tavua lähetetään (käytetään hajautusalgoritmia ). Täysi hash on salattu käyttäjän puolella luodulla avaimella. Myös Google-tietokannan alkuperäiset tiivisteet salataan ja vain kaksi ensimmäistä tavua jätetään indeksointiin. Lähetetyn kaksitavuisen etuliitteen alle kuuluvien tiivisteiden lopullinen varmennus suoritetaan käyttäjän puolella salaustekniikalla "", jossa kumpikaan osapuoli ei tiedä tarkistettavien tietojen sisältöä. Suojatakseen vaarantuneiden tilien tietokannan sisällön määrittämistä raa'alla voimalla mielivaltaisia etuliitteitä pyydettäessä, siirretyt tiedot salataan avaimella, joka on luotu vahvistetun kirjautumistunnuksen ja salasanan yhdistelmän perusteella.
Lähde: opennet.ru