Google oer it feroarjen fan de oanpak foar it ferwurkjen fan mingde ynhâld op siden iepene fia HTTPS. Eartiids, as d'r komponinten wiene op siden iepene fia HTTPS dy't waarden laden fan sûnder fersifering (fia it http://-protokol), waard in spesjale yndikator werjûn. Yn 'e takomst is besletten om it laden fan sokke boarnen standert te blokkearjen. Sa sille siden iepene fia "https://" garandearre wurde om allinich boarnen te befetsjen dy't binne downloade fia in feilich kommunikaasjekanaal.
It wurdt opmurken dat op it stuit mear as 90% fan siden wurde iepene troch Chrome-brûkers mei HTTPS. De oanwêzigens fan ynfoegingen laden sûnder fersifering soarget foar feiligensbedrigingen troch wiziging fan ûnbeskerme ynhâld as d'r kontrôle is oer it kommunikaasjekanaal (bygelyks by ferbining fia iepen Wi-Fi). De yndikator foar mingde ynhâld waard fûn net effektyf en misliedend foar de brûker, om't it gjin dúdlike beoardieling fan 'e feiligens fan' e side leveret.
Op it stuit binne de gefaarlikste soarten mingde ynhâld, lykas skripts en iframes, al standert blokkearre, mar ôfbyldings, audiobestannen en fideo's kinne noch downloade wurde fia http://. Troch spoofing fan ôfbyldings kin in oanfaller koekjes foar folgjen fan brûkers ferfange, besykje kwetsberens yn byldferwurkers te eksploitearjen, of ferfalsking begean troch de ynformaasje te ferfangen dy't yn 'e ôfbylding wurdt levere.
De ynfiering fan it blokkearjen is ferdield yn ferskate stadia. Chrome 79, pland foar desimber 10th, sil in nije ynstelling hawwe wêrmei jo blokkearjen foar spesifike siden kinne útskeakelje. Dizze ynstelling sil tapast wurde op mingde ynhâld dy't al blokkearre is, lykas skripts en iframes, en sil oproppen wurde fia it menu dat delkomt as jo op it slotsymboal klikke, en ferfangt de earder foarstelde yndikator foar it útskeakeljen fan blokkearjen.
Chrome 80, dy't op 4 febrewaris ferwachte wurdt, sil in sêft blokkearjend skema brûke foar audio- en fideobestannen, wat automatyske ferfanging fan http://-keppelings mei https:// ymplisearret, wat funksjonaliteit sil behâlde as de problematyske boarne ek tagonklik is fia HTTPS . Ofbyldings sille trochgean te laden sûnder feroarings, mar as se downloade fia http://, sille de https://-siden in ûnfeilige ferbining-yndikator foar de heule side werjaan. Om automatysk te feroarjen nei https of ôfbyldings te blokkearjen, kinne side-ûntwikkelders de CSP-eigenskippen upgrade-insecure-requests en block-all-mixed-content brûke. Chrome 81, pland foar 17 maart, sil http:// automatysk korrigearje nei https:// foar uploaden fan mingde ôfbyldings.
Dêrneist Google oer de yntegraasje yn ien fan 'e folgjende releases fan' e Chome-blêder fan 'e nije Wachtwurdkontrôle-komponint, earder as . Yntegraasje sil liede ta it ferskinen yn 'e reguliere Chrome wachtwurdbehearder fan ark foar it analysearjen fan de betrouberens fan' e wachtwurden dy't troch de brûker brûkt wurde. As jo besykje yn te loggen op in side, sil jo oanmelding en wachtwurd kontrolearre wurde tsjin in databank fan kompromittearre akkounts, mei in warskôging werjûn as problemen ûntdutsen wurde. De kontrôle wurdt útfierd tsjin in database dy't mear dan 4 miljard kompromittearre akkounts beslacht dy't ferskynden yn lekke brûkersdatabases. In warskôging sil ek werjûn wurde as jo besykje triviale wachtwurden te brûken lykas "abc123" (troch Google 23% fan 'e Amerikanen brûkt ferlykbere wachtwurden), of as se itselde wachtwurd brûke op meardere siden.
Om fertroulikens te behâlden, by tagong ta in eksterne API, wurde allinich de earste twa bytes fan 'e hash fan' e oanmelding en wachtwurd ferstjoerd (it hashing-algoritme wurdt brûkt ). De folsleine hash is fersifere mei in kaai oanmakke oan 'e kant fan' e brûker. De orizjinele hashes yn 'e Google-database binne ek ekstra fersifere en allinich de earste twa bytes fan' e hash binne oerbleaun foar yndeksearring. De definitive ferifikaasje fan hashes dy't falle ûnder it oerdroegen twa-byte prefix wurdt útfierd oan 'e kant fan' e brûker mei help fan kryptografyske technology "", wêryn gjin fan beide partijen de ynhâld wit fan 'e gegevens dy't wurde kontrolearre. Om te beskermjen tsjin de ynhâld fan in databank fan kompromittearre akkounts wurdt bepaald troch brute krêft mei in fersyk foar willekeurige foarheaksels, wurde de oerbrochte gegevens fersifere yn ferbân mei in kaai dy't oanmakke wurdt op basis fan in ferifiearre kombinaasje fan oanmelding en wachtwurd.
Boarne: opennet.ru