Google sur la disponibilité d'une protection contre les soumissions de formulaires Web non sécurisées dans une future version de Chrome 86. La protection concerne les formulaires affichés sur les pages chargées via HTTPS, mais envoyant des données sans cryptage via HTTP, ce qui crée une menace d'interception et d'usurpation de données lors d'attaques MITM. Pour ces formulaires Web mixtes, trois changements ont été implémentés :
- Le remplissage automatique de tous les formulaires de saisie mixtes a été désactivé, de la même manière que le remplissage automatique des formulaires d'authentification sur les pages ouvertes via HTTP est désactivé depuis un certain temps. Si auparavant un signe de désactivation était l'ouverture d'une page avec un formulaire via HTTPS ou HTTP, désormais l'utilisation du cryptage lors de l'envoi de données au gestionnaire de formulaire sera également prise en compte. Le gestionnaire de mots de passe, qui permet l'utilisation de mots de passe forts et uniques pour des formes mixtes d'authentification, ne sera pas désactivé, car le risque d'utiliser un mot de passe non sécurisé et de réutiliser des mots de passe sur différents sites l'emporte sur le risque d'interception potentielle du trafic.
- Au début de la saisie de formulaires mixtes, un avertissement s'affichera informant l'utilisateur que les données complétées sont envoyées via un canal de communication non crypté.
- Si vous tentez de soumettre un formulaire mixte, une page distincte s'affichera vous informant du risque potentiel de transmission de données sur un canal de communication non crypté. Dans les versions précédentes, un indicateur de cadenas dans le drain d'adresse était utilisé pour indiquer les formes mixtes, mais un tel marquage n'était pas évident pour les utilisateurs et ne reflétait pas efficacement les risques émergents.
Source: opennet.ru