Google
Va osservato che attualmente oltre il 90% dei siti vengono aperti dagli utenti di Chrome utilizzando HTTPS. La presenza di inserti caricati senza crittografia crea minacce alla sicurezza attraverso la modifica di contenuti non protetti se si ha il controllo sul canale di comunicazione (ad esempio, quando ci si connette tramite Wi-Fi aperto). L’indicatore di contenuto misto è risultato inefficace e fuorviante per l’utente, in quanto non fornisce una valutazione chiara della sicurezza della pagina.
Attualmente i tipi più pericolosi di contenuti misti, come script e iframe, sono già bloccati per impostazione predefinita, ma è ancora possibile scaricare immagini, file audio e video tramite http://. Attraverso lo spoofing delle immagini, un utente malintenzionato può sostituire i cookie di tracciamento dell'utente, tentare di sfruttare le vulnerabilità nei processori di immagini o commettere contraffazioni sostituendo le informazioni fornite nell'immagine.
L'introduzione del blocco è suddivisa in più fasi. Chrome 79, previsto per il 10 dicembre, presenterà una nuova impostazione che consentirà di disattivare il blocco per siti specifici. Questa impostazione verrà applicata ai contenuti misti già bloccati, come script e iframe, e verrà richiamata tramite il menu che scende quando si clicca sul simbolo del lucchetto, sostituendo l'indicatore precedentemente proposto per la disattivazione del blocco.
Chrome 80, previsto per il 4 febbraio, utilizzerà uno schema di soft blocking per file audio e video, che implica la sostituzione automatica dei collegamenti http:// con https://, che ne preserverà la funzionalità se la risorsa problematica è accessibile anche tramite HTTPS . Le immagini continueranno a caricarsi senza modifiche, ma se scaricate tramite http://, le pagine https:// visualizzeranno un indicatore di connessione non sicura per l'intera pagina. Per passare automaticamente a https o bloccare le immagini, gli sviluppatori del sito potranno utilizzare le proprietà CSP upgrade-insecure-requests e block-all-mixed-content. Chrome 81, previsto per il 17 marzo, correggerà automaticamente http:// in https:// per i caricamenti di immagini miste.
Inoltre, Google
Per mantenere la riservatezza, quando si accede ad un'API esterna, vengono trasmessi solo i primi due byte dell'hash di login e password (viene utilizzato l'algoritmo di hashing
Fonte: opennet.ru