Google- ը
Նշվում է, որ ներկայումս կայքերի ավելի քան 90%-ը բացվում է Chrome-ի օգտատերերի կողմից՝ օգտագործելով HTTPS։ Առանց գաղտնագրման բեռնված ներդիրների առկայությունը անվտանգության սպառնալիքներ է ստեղծում անպաշտպան բովանդակության փոփոխման միջոցով, եթե կա հսկողություն կապի ալիքի վրա (օրինակ՝ բաց Wi-Fi-ով միանալիս): Պարզվել է, որ խառը բովանդակության ցուցիչը անարդյունավետ է և ապակողմնորոշիչ է օգտատիրոջ համար, քանի որ այն չի տալիս էջի անվտանգության հստակ գնահատական:
Ներկայումս խառը բովանդակության ամենավտանգավոր տեսակները, ինչպիսիք են սկրիպտները և iframe-ները, արդեն լռելյայն արգելափակված են, սակայն պատկերները, աուդիո ֆայլերը և տեսանյութերը դեռ կարող են ներբեռնվել http://-ի միջոցով: Պատկերների կեղծման միջոցով հարձակվողը կարող է փոխարինել օգտատերերի հետագծման «Cookies» ֆայլերը, փորձել օգտագործել պատկերի պրոցեսորների խոցելիությունը կամ կեղծել՝ փոխարինելով պատկերում ներկայացված տեղեկատվությունը:
Արգելափակման ներդրումը բաժանված է մի քանի փուլերի. Chrome 79-ը, որը նախատեսված է դեկտեմբերի 10-ին, կներկայացնի նոր կարգավորում, որը թույլ կտա անջատել որոշակի կայքերի արգելափակումը: Այս կարգավորումը կկիրառվի խառը բովանդակության վրա, որն արդեն արգելափակված է, օրինակ՝ սկրիպտներ և iframe, և կկանչվի ցանկի միջոցով, որը բացվում է, երբ սեղմում եք կողպեքի խորհրդանիշի վրա՝ փոխարինելով արգելափակումն անջատելու համար նախկինում առաջարկված ցուցիչը:
Chrome 80-ը, որը սպասվում է փետրվարի 4-ին, կօգտագործի աուդիո և վիդեո ֆայլերի փափուկ արգելափակման սխեման, որը ենթադրում է http:// հղումների ավտոմատ փոխարինում https://-ով, ինչը կպահպանի ֆունկցիոնալությունը, եթե խնդրահարույց ռեսուրսը հասանելի լինի նաև HTTPS-ի միջոցով: . Պատկերները կշարունակեն բեռնվել առանց փոփոխությունների, բայց եթե ներբեռնվեն http://-ով, https:// էջերը կցուցադրեն անապահով կապի ցուցիչ ամբողջ էջի համար: Պատկերներն ավտոմատ կերպով https-ի փոխելու կամ արգելափակելու համար կայքի մշակողները կկարողանան օգտագործել CSP հատկությունների թարմացում-անապահով-հարցումներ և արգելափակել-բոլոր-խառը բովանդակություն: Chrome 81-ը, որը նախատեսված է մարտի 17-ին, ավտոմատ կերպով կուղղի http://-ին https://՝ խառը պատկերների վերբեռնման համար:
Բացի այդ, Google
Գաղտնիությունը պահպանելու համար արտաքին API մուտք գործելիս փոխանցվում են մուտքի և գաղտնաբառի հեշի միայն առաջին երկու բայթը (օգտագործվում է հեշավորման ալգորիթմը
Source: opennet.ru