グーグル Chrome 86 の将来のリリースでの、安全でない Web フォームの送信に対する保護の利用可能性について。この保護は、HTTPS 経由で読み込まれたページに表示されるフォームに関係しますが、暗号化せずに HTTP 経由でデータを送信するため、MITM 攻撃中にデータの傍受やなりすましの脅威が生じます。このような混合 Web フォームに対して、次の XNUMX つの変更が実装されました。
- HTTP 経由で開かれたページの認証フォームの自動入力が長い間無効になっていたのと同様に、混合入力フォームの自動入力は無効になりました。以前は無効化のサインが HTTPS または HTTP 経由でフォームでページを開くことであった場合、今後はフォーム ハンドラーにデータを送信するときの暗号化の使用も考慮されるようになります。パスワード マネージャーは、混合形式の認証に強力でユニークなパスワードの使用を許可しますが、無効になりません。これは、安全でないパスワードを使用したり、別のサイトでパスワードを再利用したりするリスクが、潜在的なトラフィック傍受のリスクを上回るためです。
- 混合フォームの入力を開始すると、完了したデータが暗号化されていない通信チャネルを介して送信されていることをユーザーに知らせる警告が表示されます。
- 混合フォームを送信しようとすると、暗号化されていない通信チャネルを介してデータを送信する潜在的なリスクを通知する別のページが表示されます。以前のバージョンでは、混合形式を示すためにアドレス ドレインの南京錠インジケーターが使用されていましたが、そのようなマーキングはユーザーにとって明らかではなく、新たなリスクを効果的に反映していませんでした。
出所: オープンネット.ru