Google
Nótase que actualmente máis do 90% dos sitios son abertos por usuarios de Chrome mediante HTTPS. A presenza de insercións cargadas sen cifrado crea ameazas de seguridade mediante a modificación do contido non protexido se hai control sobre a canle de comunicación (por exemplo, cando se conecta a través dunha wifi aberta). O indicador de contido mixto resultou ineficaz e enganoso para o usuario, xa que non ofrece unha valoración clara da seguridade da páxina.
Actualmente, os tipos máis perigosos de contido mixto, como scripts e iframes, xa están bloqueados por defecto, pero aínda se poden descargar imaxes, ficheiros de audio e vídeos a través de http://. Mediante a suplantación de imaxes, un atacante pode substituír as cookies de seguimento do usuario, tentar explotar vulnerabilidades dos procesadores de imaxes ou cometer falsificación substituíndo a información proporcionada na imaxe.
A introdución do bloqueo divídese en varias etapas. Chrome 79, programado para o 10 de decembro, contará cunha nova configuración que che permitirá desactivar o bloqueo de sitios específicos. Esta configuración aplicarase ao contido mixto que xa está bloqueado, como scripts e iframes, e chamarase a través do menú que se desprega ao facer clic no símbolo do bloqueo, substituíndo o indicador proposto anteriormente para desactivar o bloqueo.
Chrome 80, que se espera o 4 de febreiro, utilizará un esquema de bloqueo suave para ficheiros de audio e vídeo, o que implica a substitución automática das ligazóns http:// por https://, o que conservará a funcionalidade se o recurso problemático tamén é accesible a través de HTTPS. . As imaxes seguirán cargándose sen cambios, pero se se descargan a través de http://, as páxinas https:// mostrarán un indicador de conexión insegura para toda a páxina. Para cambiar automaticamente a https ou bloquear imaxes, os desenvolvedores do sitio poderán usar as propiedades de CSP upgrade-insecure-requests e block-all-mixed-content. Chrome 81, programado para o 17 de marzo, corrixirá automaticamente http:// a https:// para cargas de imaxes mixtas.
Ademais, Google
Para manter a confidencialidade, ao acceder a unha API externa só se transmiten os dous primeiros bytes do hash do inicio de sesión e do contrasinal (utilízase o algoritmo de hash
Fonte: opennet.ru