Google- ը HTTPS-ի միջոցով բացված էջերում խառը բովանդակության մշակման մոտեցումը փոխելու մասին։ Նախկինում, եթե HTTPS-ի միջոցով բացված էջերում կային բաղադրիչներ, որոնք բեռնված էին առանց գաղտնագրման (http:// արձանագրության միջոցով), ցուցադրվում էր հատուկ ցուցիչ։ Հետագայում որոշվել է լռելյայն արգելափակել նման ռեսուրսների բեռնումը։ Այսպիսով, «https://»-ի միջոցով բացված էջերը երաշխավորված կլինեն, որ կպարունակեն միայն անվտանգ հաղորդակցման ալիքով ներբեռնված ռեսուրսներ:
Նշվում է, որ ներկայումս կայքերի ավելի քան 90%-ը բացվում է Chrome-ի օգտատերերի կողմից՝ օգտագործելով HTTPS։ Առանց գաղտնագրման բեռնված ներդիրների առկայությունը անվտանգության սպառնալիքներ է ստեղծում անպաշտպան բովանդակության փոփոխման միջոցով, եթե կա հսկողություն կապի ալիքի վրա (օրինակ՝ բաց Wi-Fi-ով միանալիս): Պարզվել է, որ խառը բովանդակության ցուցիչը անարդյունավետ է և ապակողմնորոշիչ է օգտատիրոջ համար, քանի որ այն չի տալիս էջի անվտանգության հստակ գնահատական:
Ներկայումս խառը բովանդակության ամենավտանգավոր տեսակները, ինչպիսիք են սկրիպտները և iframe-ները, արդեն լռելյայն արգելափակված են, սակայն պատկերները, աուդիո ֆայլերը և տեսանյութերը դեռ կարող են ներբեռնվել http://-ի միջոցով: Պատկերների կեղծման միջոցով հարձակվողը կարող է փոխարինել օգտատերերի հետագծման «Cookies» ֆայլերը, փորձել օգտագործել պատկերի պրոցեսորների խոցելիությունը կամ կեղծել՝ փոխարինելով պատկերում ներկայացված տեղեկատվությունը:
Արգելափակման ներդրումը բաժանված է մի քանի փուլերի. Chrome 79-ը, որը նախատեսված է դեկտեմբերի 10-ին, կներկայացնի նոր կարգավորում, որը թույլ կտա անջատել որոշակի կայքերի արգելափակումը: Այս կարգավորումը կկիրառվի խառը բովանդակության վրա, որն արդեն արգելափակված է, օրինակ՝ սկրիպտներ և iframe, և կկանչվի ցանկի միջոցով, որը բացվում է, երբ սեղմում եք կողպեքի խորհրդանիշի վրա՝ փոխարինելով արգելափակումն անջատելու համար նախկինում առաջարկված ցուցիչը:
Chrome 80-ը, որը սպասվում է փետրվարի 4-ին, կօգտագործի աուդիո և վիդեո ֆայլերի փափուկ արգելափակման սխեման, որը ենթադրում է http:// հղումների ավտոմատ փոխարինում https://-ով, ինչը կպահպանի ֆունկցիոնալությունը, եթե խնդրահարույց ռեսուրսը հասանելի լինի նաև HTTPS-ի միջոցով: . Պատկերները կշարունակեն բեռնվել առանց փոփոխությունների, բայց եթե ներբեռնվեն http://-ով, https:// էջերը կցուցադրեն անապահով կապի ցուցիչ ամբողջ էջի համար: Պատկերներն ավտոմատ կերպով https-ի փոխելու կամ արգելափակելու համար կայքի մշակողները կկարողանան օգտագործել CSP հատկությունների թարմացում-անապահով-հարցումներ և արգելափակել-բոլոր-խառը բովանդակություն: Chrome 81-ը, որը նախատեսված է մարտի 17-ին, ավտոմատ կերպով կուղղի http://-ին https://՝ խառը պատկերների վերբեռնման համար:
Բացի այդ, Google Նախկինում գաղտնաբառի ստուգման նոր բաղադրիչի Chome դիտարկիչի հաջորդ թողարկումներից մեկում ինտեգրվելու մասին ձևով . Ինտեգրումը կհանգեցնի նրան, որ օգտատերերի կողմից օգտագործվող գաղտնաբառերի հուսալիությունը վերլուծելու համար սովորական Chrome-ի գաղտնաբառերի կառավարիչում կհայտնվեն գործիքներ: Երբ փորձում եք մուտք գործել որևէ կայք, ձեր մուտքն ու գաղտնաբառը կստուգվեն վտանգի ենթարկված հաշիվների տվյալների բազայում, և եթե խնդիրներ հայտնաբերվեն, կցուցադրվի նախազգուշացում: Ստուգումն իրականացվում է տվյալների բազայի նկատմամբ, որն ընդգրկում է ավելի քան 4 միլիարդ վտանգված հաշիվներ, որոնք հայտնվել են օգտատերերի տվյալների բազաներում արտահոսքի մեջ: Նախազգուշացում կցուցադրվի նաև, եթե փորձեք օգտագործել չնչին գաղտնաբառեր, ինչպիսիք են «abc123» (ըստ Google-ը Ամերիկացիների 23%-ն օգտագործում է նմանատիպ գաղտնաբառեր), կամ մի քանի կայքերում նույն գաղտնաբառը օգտագործելիս:
Գաղտնիությունը պահպանելու համար արտաքին API մուտք գործելիս փոխանցվում են մուտքի և գաղտնաբառի հեշի միայն առաջին երկու բայթը (օգտագործվում է հեշավորման ալգորիթմը ) Ամբողջական հեշը կոդավորված է օգտատիրոջ կողմից ստեղծված բանալիով: Google-ի տվյալների բազայի բնօրինակ հեշերը նույնպես լրացուցիչ կոդավորված են և ինդեքսավորման համար մնացել են հեշի միայն առաջին երկու բայթերը: Հեշերի վերջնական ստուգումը, որոնք ընկնում են փոխանցված երկու բայթ նախածանցի տակ, իրականացվում է օգտագործողի կողմից՝ օգտագործելով գաղտնագրման տեխնոլոգիա:«, որտեղ կողմերից ոչ մեկը չգիտի ստուգվող տվյալների բովանդակությունը: Վտանգված հաշիվների տվյալների բազայի բովանդակությունից պաշտպանվելու համար, որը որոշվում է կոպիտ ուժով կամայական նախածանցների խնդրանքով, փոխանցված տվյալները գաղտնագրվում են մուտքի և գաղտնաբառի ստուգված համակցության հիման վրա ստեղծված բանալիի հետ կապված:
Source: opennet.ru