Google
Primijećeno je da trenutno više od 90% web stranica otvaraju korisnici Chromea koristeći HTTPS. Prisutnost umetaka učitanih bez enkripcije stvara sigurnosne prijetnje modificiranjem nezaštićenog sadržaja ako postoji kontrola nad komunikacijskim kanalom (na primjer, pri povezivanju putem otvorenog Wi-Fi-ja). Indikator mješovitog sadržaja pokazao se neučinkovitim i zavaravajućim za korisnika jer ne daje jasnu procjenu sigurnosti stranice.
Trenutačno su najopasnije vrste mješovitog sadržaja, poput skripti i iframeova, već blokirane prema zadanim postavkama, ali slike, audiodatoteke i videozapisi još uvijek se mogu preuzeti putem http://. Putem krivotvorenja slike, napadač može zamijeniti kolačiće za praćenje korisnika, pokušati iskoristiti ranjivosti u procesorima slike ili počiniti krivotvorinu zamjenom informacija navedenih na slici.
Uvođenje blokade podijeljeno je u nekoliko faza. Chrome 79, predviđen za 10. prosinca, sadržavat će novu postavku koja će vam omogućiti da onemogućite blokiranje za određene stranice. Ova će se postavka primijeniti na mješoviti sadržaj koji je već blokiran, kao što su skripte i iframeovi, a bit će pozvana kroz izbornik koji pada kada kliknete na simbol lokota, zamjenjujući prethodno predloženi indikator za onemogućavanje blokiranja.
Chrome 80, koji se očekuje 4. veljače, koristit će shemu mekog blokiranja za audio i video datoteke, što podrazumijeva automatsku zamjenu poveznica http:// s https://, što će sačuvati funkcionalnost ako je problematičnom resursu također moguće pristupiti putem HTTPS-a . Slike će se nastaviti učitavati bez promjena, ali ako se preuzmu putem http://, https:// stranice će prikazati indikator nesigurne veze za cijelu stranicu. Za automatsku promjenu na https ili blokiranje slika, programeri web-mjesta moći će koristiti CSP svojstva upgrade-insecure-requests i block-all-mixed-content. Chrome 81, zakazan za 17. ožujka, automatski će ispraviti http:// u https:// za mješovite prijenose slika.
Osim toga, Google
Kako bi se održala povjerljivost, kada se pristupa vanjskom API-ju, prenose se samo prva dva bajta hasha za prijavu i lozinku (koristi se algoritam raspršivanja
Izvor: opennet.ru