Google
Megjegyzendő, hogy jelenleg a webhelyek több mint 90%-át a Chrome-felhasználók nyitják meg HTTPS használatával. A titkosítás nélkül betöltött betétek jelenléte biztonsági fenyegetést jelent a nem védett tartalom módosítása révén, ha a kommunikációs csatorna ellenőrzése alatt áll (például nyitott Wi-Fi-n keresztüli csatlakozáskor). A vegyes tartalom jelző hatástalannak és a felhasználó számára félrevezetőnek bizonyult, mivel nem ad egyértelmű értékelést az oldal biztonságáról.
Jelenleg a legveszélyesebb kevert tartalomtípusok, például a szkriptek és az iframe-ek már alapértelmezés szerint le vannak tiltva, de a képek, hangfájlok és videók továbbra is letölthetők a http:// oldalról. A képhamisítás révén a támadó helyettesítheti a felhasználókövető cookie-kat, megpróbálhatja kihasználni a képfeldolgozók sebezhetőségeit, vagy hamisítást követhet el a képen található információk cseréjével.
A blokkolás bevezetése több szakaszra oszlik. A december 79-re tervezett Chrome 10 új beállítást tartalmaz, amely lehetővé teszi bizonyos webhelyek blokkolásának letiltását. Ez a beállítás a már blokkolt vegyes tartalomra, például szkriptekre és iframe-ekre vonatkozik, és a menüből jelenik meg, amely a lakat szimbólumra kattintáskor legördülő menüben jelenik meg, helyettesítve a korábban javasolt blokkolási jelzőt.
A február 80-én várható Chrome 4 lágy blokkolási sémát fog használni az audio- és videofájlokhoz, ami azt jelenti, hogy a http:// hivatkozások automatikusan https://-re cserélődnek, ami megőrzi a funkcionalitást, ha a problémás erőforrás HTTPS-en keresztül is elérhető. . A képek továbbra is változtatás nélkül töltődnek be, de ha http:// keresztül töltik le, a https:// oldalak a nem biztonságos kapcsolat jelzését jelzik az egész oldalon. Az automatikus https-re váltáshoz vagy a képek blokkolásához a webhelyfejlesztők használhatják a CSP-tulajdonságok frissítése-insecure-requests és block-all-mixed-content. A március 81-re tervezett Chrome 17 automatikusan javítja a http://-t https://-re vegyes képfeltöltés esetén.
Ezen kívül a Google
A titkosság megőrzése érdekében külső API-hoz való hozzáféréskor csak a bejelentkezési név és a jelszó kivonatának első két bájtja kerül továbbításra (a hash algoritmust használjuk
Forrás: opennet.ru