Google
It wurdt opmurken dat op it stuit mear as 90% fan siden wurde iepene troch Chrome-brûkers mei HTTPS. De oanwêzigens fan ynfoegingen laden sûnder fersifering soarget foar feiligensbedrigingen troch wiziging fan ûnbeskerme ynhâld as d'r kontrôle is oer it kommunikaasjekanaal (bygelyks by ferbining fia iepen Wi-Fi). De yndikator foar mingde ynhâld waard fûn net effektyf en misliedend foar de brûker, om't it gjin dúdlike beoardieling fan 'e feiligens fan' e side leveret.
Op it stuit binne de gefaarlikste soarten mingde ynhâld, lykas skripts en iframes, al standert blokkearre, mar ôfbyldings, audiobestannen en fideo's kinne noch downloade wurde fia http://. Troch spoofing fan ôfbyldings kin in oanfaller koekjes foar folgjen fan brûkers ferfange, besykje kwetsberens yn byldferwurkers te eksploitearjen, of ferfalsking begean troch de ynformaasje te ferfangen dy't yn 'e ôfbylding wurdt levere.
De ynfiering fan it blokkearjen is ferdield yn ferskate stadia. Chrome 79, pland foar desimber 10th, sil in nije ynstelling hawwe wêrmei jo blokkearjen foar spesifike siden kinne útskeakelje. Dizze ynstelling sil tapast wurde op mingde ynhâld dy't al blokkearre is, lykas skripts en iframes, en sil oproppen wurde fia it menu dat delkomt as jo op it slotsymboal klikke, en ferfangt de earder foarstelde yndikator foar it útskeakeljen fan blokkearjen.
Chrome 80, dy't op 4 febrewaris ferwachte wurdt, sil in sêft blokkearjend skema brûke foar audio- en fideobestannen, wat automatyske ferfanging fan http://-keppelings mei https:// ymplisearret, wat funksjonaliteit sil behâlde as de problematyske boarne ek tagonklik is fia HTTPS . Ofbyldings sille trochgean te laden sûnder feroarings, mar as se downloade fia http://, sille de https://-siden in ûnfeilige ferbining-yndikator foar de heule side werjaan. Om automatysk te feroarjen nei https of ôfbyldings te blokkearjen, kinne side-ûntwikkelders de CSP-eigenskippen upgrade-insecure-requests en block-all-mixed-content brûke. Chrome 81, pland foar 17 maart, sil http:// automatysk korrigearje nei https:// foar uploaden fan mingde ôfbyldings.
Dêrneist Google
Om fertroulikens te behâlden, by tagong ta in eksterne API, wurde allinich de earste twa bytes fan 'e hash fan' e oanmelding en wachtwurd ferstjoerd (it hashing-algoritme wurdt brûkt
Boarne: opennet.ru