Google um að breyta nálgun við vinnslu blandaðs efnis á síðum sem opnaðar eru í gegnum HTTPS. Áður fyrr, ef það voru íhlutir á síðum sem voru opnaðar með HTTPS sem voru hlaðnar frá án dulkóðunar (með http:// samskiptareglunum), birtist sérstakur vísir. Í framtíðinni hefur verið ákveðið að loka sjálfgefið fyrir hleðslu slíkra auðlinda. Þannig er tryggt að síður sem opnaðar eru í gegnum „https://“ innihaldi aðeins tilföng sem hlaðið er niður í gegnum örugga samskiptarás.
Það er tekið fram að nú eru meira en 90% vefsvæða opnuð af Chrome notendum sem nota HTTPS. Tilvist innleggs sem hlaðið er án dulkóðunar skapar öryggisógnir með breytingu á óvarnu efni ef það er stjórn á samskiptarásinni (til dæmis þegar tengst er um opið Wi-Fi). Vísir um blandað efni reyndist ómarkviss og villandi fyrir notandann, þar sem hann gefur ekki skýrt mat á öryggi síðunnar.
Eins og er eru hættulegustu tegundir blandaðs efnis, eins og forskriftir og iframes, þegar lokað sjálfgefið, en samt er hægt að hlaða niður myndum, hljóðskrám og myndböndum í gegnum http://. Með myndskemmdum getur árásarmaður komið í staðinn fyrir notendarakningarkökur, reynt að nýta sér veikleika í myndvinnslum eða framið fölsun með því að skipta út upplýsingum sem gefnar eru upp á myndinni.
Kynning á lokuninni er skipt í nokkur stig. Chrome 79, sem áætluð er 10. desember, mun bjóða upp á nýja stillingu sem gerir þér kleift að slökkva á lokun fyrir tilteknar síður. Þessi stilling verður notuð á blandað efni sem þegar er lokað, eins og forskriftir og iframes, og verður kölluð upp í gegnum valmyndina sem fellur niður þegar þú smellir á læsingartáknið og kemur í stað áður fyrirhugaðs vísis til að slökkva á lokun.
Chrome 80, sem er væntanlegur 4. febrúar, mun nota mjúkt lokunarkerfi fyrir hljóð- og myndskrár, sem gefur til kynna að http:// tenglum verði sjálfkrafa skipt út fyrir https://, sem mun varðveita virkni ef vandamálið er einnig aðgengilegt í gegnum HTTPS . Myndir munu halda áfram að hlaðast án breytinga, en ef þeim er hlaðið niður í gegnum http:// munu https:// síðurnar sýna óöruggan tengingarvísi fyrir alla síðuna. Til að skipta sjálfkrafa yfir í https eða loka fyrir myndir, munu vefsvæðisframleiðendur geta notað CSP eiginleikana upgrade-insecure-requests og block-all-mixed-content. Chrome 81, sem áætlað er að verði 17. mars, mun leiðrétta http:// sjálfkrafa í https:// fyrir blandaða myndupphleðslu.
Auk þess Google um samþættingu í eina af næstu útgáfum af Chome vafranum á nýja lykilorðaskoðunarhlutanum, áður í formi . Samþætting mun leiða til útlits í venjulegum Chrome lykilorðastjóra tækja til að greina áreiðanleika lykilorðanna sem notandinn notar. Þegar þú reynir að skrá þig inn á hvaða síðu sem er, verður notandanafnið þitt og lykilorð athugað gegn gagnagrunni yfir reikninga sem hafa verið í hættu, með viðvörun sem birtist ef vandamál finnast. Athugunin fer fram á gagnagrunni sem nær yfir meira en 4 milljarða reikninga í hættu sem birtust í notendagagnagrunnum sem lekið var. Viðvörun mun einnig birtast ef þú reynir að nota léttvæg lykilorð eins og "abc123" (með því að Google 23% Bandaríkjamanna nota svipuð lykilorð), eða þegar sama lykilorð er notað á mörgum síðum.
Til að viðhalda trúnaði, þegar aðgangur er að utanaðkomandi API, eru aðeins fyrstu tvö bæti kjötkássa innskráningar- og lykilorðsins send (kássunaralgrímið er notað ). Fullt kjötkássa er dulkóðað með lykli sem myndaður er á hlið notandans. Upprunaleg kjötkássa í Google gagnagrunninum eru einnig dulkóðuð til viðbótar og aðeins fyrstu tvö bætin af kjötkássa eru eftir til flokkunar. Endanleg sannprófun á kjötkássa sem falla undir sent tveggja bæta forskeytið fer fram á hlið notandans með dulritunartækni "“, þar sem hvorugur aðilinn þekkir innihald gagna sem verið er að athuga. Til að verjast því að innihald gagnagrunns yfir reikninga í hættu sé ákvarðað með grófu valdi með beiðni um handahófskennd forskeyti, eru send gögn dulkóðuð í tengslum við lykil sem myndaður er á grundvelli staðfestrar samsetningar innskráningar og lykilorðs.
Heimild: opennet.ru