Google babagan ngganti pendekatan kanggo ngolah isi campuran ing kaca sing dibukak liwat HTTPS. Sadurunge, yen ana komponen ing kaca sing dibukak liwat HTTPS sing dimuat saka tanpa enkripsi (liwat protokol http: //), indikator khusus ditampilake. Ing mangsa ngarep, wis diputusake kanggo mblokir loading sumber daya kasebut kanthi standar. Mangkono, kaca sing dibukak liwat "https: //" bakal dijamin mung ngemot sumber daya sing diundhuh liwat saluran komunikasi sing aman.
Kacathet yen saiki luwih saka 90% situs dibukak dening pangguna Chrome nggunakake HTTPS. Anane sisipan sing dimuat tanpa enkripsi nggawe ancaman keamanan liwat modifikasi konten sing ora dilindhungi yen ana kontrol saluran komunikasi (contone, nalika nyambungake liwat Wi-Fi sing mbukak). Indikator isi campuran ditemokake ora efektif lan nyasarake pangguna, amarga ora menehi penilaian sing jelas babagan keamanan kaca kasebut.
Saiki, jinis konten campuran sing paling mbebayani, kayata skrip lan iframe, wis diblokir kanthi standar, nanging gambar, file audio lan video isih bisa diundhuh liwat http: //. Liwat spoofing gambar, panyerang bisa ngganti Cookie pelacak pangguna, nyoba ngeksploitasi kerentanan ing prosesor gambar, utawa nindakake pemalsuan kanthi ngganti informasi sing diwenehake ing gambar kasebut.
Introduksi pamblokiran dipΓ©rang dadi sawetara tahapan. Chrome 79, sing dijadwalake tanggal 10 Desember, bakal nampilake setelan anyar sing ngidini sampeyan mateni pamblokiran kanggo situs tartamtu. Setelan iki bakal ditrapake kanggo isi campuran sing wis diblokir, kayata skrip lan iframes, lan bakal diarani liwat menu sing mudhun nalika sampeyan ngeklik simbol kunci, ngganti indikator sing diusulake sadurunge kanggo mateni pamblokiran.
Chrome 80, sing diarepake tanggal 4 Februari, bakal nggunakake skema pamblokiran alus kanggo file audio lan video, tegese ngganti otomatis http: // pranala karo https: //, sing bakal ngreksa fungsi yen sumber masalah uga bisa diakses liwat HTTPS. . Gambar bakal terus dimuat tanpa owah-owahan, nanging yen diundhuh liwat http: //, kaca https: // bakal nampilake indikator sambungan sing ora aman kanggo kabeh kaca. Kanggo ngganti kanthi otomatis menyang https utawa mblokir gambar, pangembang situs bakal bisa nggunakake properti CSP upgrade-insecure-requests lan block-all-mixed-content. Chrome 81, sing dijadwalake tanggal 17 Maret, bakal otomatis mbenerake http: // menyang https: // kanggo upload gambar campuran.
Kajaba iku, Google babagan integrasi menyang salah sawijining rilis sabanjure browser Chome komponen Priksa Sandi anyar, sadurunge ing wangun . Integrasi bakal mimpin kanggo katon ing pangatur sandi Chrome reguler alat kanggo nganalisa linuwih sandhi sing digunakake dening pangguna. Nalika sampeyan nyoba mlebu menyang situs apa wae, login lan sandhi sampeyan bakal dicenthang ing basis data akun sing dikompromi, kanthi bebaya ditampilake yen ana masalah. Pemeriksaa ditindakake marang database sing nyakup luwih saka 4 milyar akun sing dikompromi sing katon ing database pangguna sing bocor. Bebaya uga bakal ditampilake yen sampeyan nyoba nggunakake tembung sandhi sing ora pati penting kayata "abc123" (dening Google 23% wong Amerika nggunakake sandhi sing padha), utawa nalika nggunakake tembung sandhi sing padha ing pirang-pirang situs.
Kanggo njaga rahasia, nalika ngakses API eksternal, mung rong bita pisanan saka hash login lan sandhi sing dikirim (algoritma hashing digunakake. ). Hash lengkap dienkripsi nganggo kunci sing digawe ing sisih pangguna. Hash asli ing basis data Google uga dienkripsi lan mung rong bita pisanan saka hash sing ditinggalake kanggo indeksasi. Verifikasi pungkasan saka hash sing ana ing ater-ater rong bait sing dikirim ditindakake ing sisih pangguna nggunakake teknologi kriptografi "", sing ora ana pihak sing ngerti isi data sing dipriksa. Kanggo nglindhungi isi database akun sing dikompromi sing ditemtokake dening brute force kanthi panjaluk prefiks sing sewenang-wenang, data sing dikirim dienkripsi karo kunci sing digawe adhedhasar kombinasi login lan sandhi sing wis diverifikasi.
Source: opennet.ru