Google tentang mengubah pendekatan pemrosesan konten campuran pada halaman yang dibuka melalui HTTPS. Sebelumnya, jika ada komponen pada halaman yang dibuka melalui HTTPS yang dimuat tanpa enkripsi (melalui protokol http://), indikator khusus akan ditampilkan. Di masa depan, diputuskan untuk memblokir pemuatan sumber daya tersebut secara default. Dengan demikian, halaman yang dibuka melalui “https://” dijamin hanya berisi sumber daya yang diunduh melalui saluran komunikasi yang aman.
Tercatat saat ini lebih dari 90% situs dibuka oleh pengguna Chrome menggunakan HTTPS. Kehadiran sisipan yang dimuat tanpa enkripsi menimbulkan ancaman keamanan melalui modifikasi konten yang tidak dilindungi jika ada kontrol atas saluran komunikasi (misalnya, saat terhubung melalui Wi-Fi terbuka). Indikator konten campuran ternyata tidak efektif dan menyesatkan pengguna, karena tidak memberikan penilaian yang jelas terhadap keamanan halaman.
Saat ini, jenis konten campuran yang paling berbahaya, seperti skrip dan iframe, sudah diblokir secara default, namun gambar, file audio, dan video masih dapat diunduh melalui http://. Melalui spoofing gambar, penyerang dapat mengganti Cookie pelacakan pengguna, mencoba mengeksploitasi kerentanan dalam pemroses gambar, atau melakukan pemalsuan dengan mengganti informasi yang diberikan dalam gambar.
Pengenalan pemblokiran dibagi menjadi beberapa tahap. Chrome 79, yang dijadwalkan pada 10 Desember, akan menampilkan pengaturan baru yang memungkinkan Anda menonaktifkan pemblokiran untuk situs tertentu. Pengaturan ini akan diterapkan pada konten campuran yang sudah diblokir, seperti skrip dan iframe, dan akan dipanggil melalui menu drop-down ketika Anda mengklik simbol kunci, menggantikan indikator yang diusulkan sebelumnya untuk menonaktifkan pemblokiran.
Chrome 80, yang diharapkan tersedia pada tanggal 4 Februari, akan menggunakan skema pemblokiran lunak untuk file audio dan video, yang berarti penggantian otomatis tautan http:// dengan https://, yang akan mempertahankan fungsionalitas jika sumber daya yang bermasalah juga dapat diakses melalui HTTPS . Gambar akan terus dimuat tanpa perubahan, namun jika diunduh melalui http://, halaman https:// akan menampilkan indikator koneksi tidak aman untuk keseluruhan halaman. Untuk secara otomatis mengubah ke https atau memblokir gambar, pengembang situs akan dapat menggunakan properti CSP upgrade-insecure-requests dan block-all-mixed-contents. Chrome 81, yang dijadwalkan pada 17 Maret, akan mengoreksi http:// menjadi https:// secara otomatis untuk unggahan gambar campuran.
Selain itu, Google tentang integrasi ke dalam salah satu rilis berikutnya browser Chome dari komponen Pemeriksaan Kata Sandi baru, sebelumnya dalam bentuk . Integrasi akan mengarah pada munculnya alat pengelola kata sandi Chrome biasa untuk menganalisis keandalan kata sandi yang digunakan oleh pengguna. Saat Anda mencoba masuk ke situs mana pun, login dan kata sandi Anda akan diperiksa berdasarkan database akun yang disusupi, dengan peringatan ditampilkan jika terdeteksi ada masalah. Pemeriksaan dilakukan terhadap database yang mencakup lebih dari 4 miliar akun yang disusupi yang muncul di database pengguna yang bocor. Peringatan juga akan ditampilkan jika Anda mencoba menggunakan kata sandi sepele seperti "abc123" (oleh Google 23% orang Amerika menggunakan sandi yang serupa), atau saat menggunakan sandi yang sama di beberapa situs.
Untuk menjaga kerahasiaan, saat mengakses API eksternal, hanya dua byte pertama dari hash login dan kata sandi yang dikirimkan (algoritme hashing digunakan ). Hash lengkap dienkripsi dengan kunci yang dibuat di sisi pengguna. Hash asli di database Google juga dienkripsi tambahan dan hanya dua byte pertama hash yang tersisa untuk pengindeksan. Verifikasi akhir dari hash yang termasuk dalam awalan dua byte yang ditransmisikan dilakukan di sisi pengguna menggunakan teknologi kriptografi ““, yang mana tidak ada pihak yang mengetahui isi data yang diperiksa. Untuk melindungi terhadap konten database akun yang disusupi yang ditentukan secara brute force dengan permintaan awalan yang sewenang-wenang, data yang dikirimkan dienkripsi sehubungan dengan kunci yang dihasilkan berdasarkan kombinasi login dan kata sandi yang terverifikasi.
Sumber: opennet.ru