Google
On constate qu'actuellement plus de 90 % des sites sont ouverts par des utilisateurs de Chrome via HTTPS. La présence d'inserts chargés sans cryptage crée des menaces de sécurité en modifiant le contenu non protégé s'il existe un contrôle sur le canal de communication (par exemple, lors d'une connexion via Wi-Fi ouvert). L’indicateur de contenu mixte s’est révélé inefficace et trompeur pour l’utilisateur, car il ne fournit pas une évaluation claire de la sécurité de la page.
Actuellement, les types de contenus mixtes les plus dangereux, tels que les scripts et les iframes, sont déjà bloqués par défaut, mais les images, fichiers audio et vidéos peuvent toujours être téléchargés via http://. Grâce à l'usurpation d'image, un attaquant peut remplacer les cookies de suivi des utilisateurs, tenter d'exploiter les vulnérabilités des processeurs d'image ou commettre une contrefaçon en remplaçant les informations fournies dans l'image.
La mise en place du blocage se déroule en plusieurs étapes. Chrome 79, prévu pour le 10 décembre, proposera un nouveau paramètre qui vous permettra de désactiver le blocage pour des sites spécifiques. Ce paramètre sera appliqué aux contenus mixtes déjà bloqués, tels que les scripts et les iframes, et sera appelé via le menu qui se déroule lorsque vous cliquez sur le symbole du cadenas, remplaçant l'indicateur proposé précédemment pour désactiver le blocage.
Chrome 80, attendu pour le 4 février, utilisera un système de blocage logiciel pour les fichiers audio et vidéo, impliquant le remplacement automatique des liens http:// par https://, ce qui préservera la fonctionnalité si la ressource problématique est également accessible via HTTPS. . Les images continueront à se charger sans modifications, mais si elles sont téléchargées via http://, les pages https:// afficheront un indicateur de connexion non sécurisée pour l'ensemble de la page. Pour passer automatiquement à https ou bloquer les images, les développeurs de sites pourront utiliser les propriétés CSP update-insecure-requests et block-all-mixed-content. Chrome 81, prévu pour le 17 mars, corrigera automatiquement http:// en https:// pour les téléchargements d'images mixtes.
De plus, Google
Pour préserver la confidentialité, lors de l'accès à une API externe, seuls les deux premiers octets du hachage du login et du mot de passe sont transmis (l'algorithme de hachage est utilisé
Source: opennet.ru