Google HTTPS арқылы ашылған беттерде аралас мазмұнды өңдеу тәсілін өзгерту туралы. Бұрын HTTPS арқылы ашылған беттерде шифрлаусыз (http:// протоколы арқылы) жүктелетін құрамдас бөліктер болса, арнайы индикатор көрсетіледі. Болашақта әдепкі бойынша мұндай ресурстарды жүктеуді блоктау туралы шешім қабылданды. Осылайша, «https://» арқылы ашылған беттер тек қауіпсіз байланыс арнасы арқылы жүктелген ресурстарды қамтитынына кепілдік беріледі.
Қазіргі уақытта сайттардың 90%-дан астамын Chrome пайдаланушылары HTTPS арқылы ашатыны атап өтілді. Шифрлаусыз жүктелген кірістірулердің болуы байланыс арнасын бақылау болған жағдайда (мысалы, ашық Wi-Fi арқылы қосылу кезінде) қорғалмаған мазмұнды өзгерту арқылы қауіпсіздік қатерлерін тудырады. Аралас мазмұн индикаторы тиімсіз және пайдаланушыны жаңылыстырушы болып табылды, өйткені ол беттің қауіпсіздігіне нақты баға бермейді.
Қазіргі уақытта сценарийлер мен iframes сияқты аралас мазмұнның ең қауіпті түрлері әдепкі бойынша бұғатталған, бірақ суреттерді, аудио файлдарды және бейнелерді әлі де http:// арқылы жүктеп алуға болады. Кескінді бұрмалау арқылы шабуылдаушы пайдаланушының бақылау Cookie файлдарын алмастыра алады, кескін процессорларындағы осалдықтарды пайдалануға тырысады немесе суретте берілген ақпаратты ауыстыру арқылы жалғандық жасай алады.
Блоктауды енгізу бірнеше кезеңге бөлінеді. 79 желтоқсанға жоспарланған Chrome 10 нақты сайттар үшін блоктауды өшіруге мүмкіндік беретін жаңа параметрді ұсынады. Бұл параметр сценарийлер мен iframe файлдары сияқты бұрыннан бұғатталған аралас мазмұнға қолданылады және құлыптау белгішесін басқан кезде төмен түсетін мәзір арқылы шақырылады, бұғаттауды өшіру үшін бұрын ұсынылған индикаторды ауыстырады.
80 ақпанда күтілетін Chrome 4 аудио және бейне файлдар үшін жұмсақ блоктау схемасын пайдаланады, бұл http:// сілтемелерін https:// арқылы автоматты түрде ауыстыруды білдіреді, бұл проблемалық ресурс HTTPS арқылы да қолжетімді болса, функционалдылықты сақтайды. . Суреттер өзгеріссіз жүктелуді жалғастырады, бірақ http:// арқылы жүктелсе, https:// беттерінде бүкіл бет үшін қауіпті қосылым көрсеткіші көрсетіледі. Https түріне автоматты түрде өзгерту немесе кескіндерді блоктау үшін сайт әзірлеушілері CSP сипаттарын жаңарту-қауіпсіз-сұраулар және блок-барлы-аралас мазмұнды пайдалана алады. 81 наурызға жоспарланған Chrome 17 аралас кескінді жүктеп салу үшін http:// мекенжайын https:// деп автоматты түрде түзетеді.
Сонымен қатар, Google бұрын жаңа Password Checkup компонентінің Chome браузерінің келесі шығарылымдарының біріне біріктіру туралы түрде . Интеграция әдеттегі Chrome құпия сөз басқарушысында пайдаланушы пайдаланатын құпия сөздердің сенімділігін талдауға арналған құралдардың пайда болуына әкеледі. Кез келген сайтқа кіруге әрекеттенгенде, логин мен құпия сөз бұзылған тіркелгілердің дерекқорымен тексеріліп, ақаулар анықталса, ескерту көрсетіледі. Тексеру ағып кеткен пайдаланушы дерекқорларында пайда болған 4 миллиардтан астам бұзылған тіркелгілерді қамтитын дерекқорға қарсы жүргізіледі. Сондай-ақ, "abc123" сияқты маңызды емес құпия сөздерді пайдаланғыңыз келсе, ескерту көрсетіледі. Google американдықтардың 23% ұқсас құпия сөздерді пайдаланады) немесе бірнеше сайттарда бір құпия сөзді пайдаланған кезде.
Құпиялылықты сақтау үшін сыртқы API-ге кіру кезінде логин мен пароль хэшінің алғашқы екі байты ғана жіберіледі (хэширлеу алгоритмі пайдаланылады) ). Толық хэш пайдаланушы жағында жасалған кілтпен шифрланады. Google дерекқорындағы бастапқы хэштер де қосымша шифрланады және индекстеу үшін хэштің тек алғашқы екі байты ғана қалды. Тасымалданатын екі байттық префикске жататын хэштерді соңғы тексеру криптографиялық технологияны қолдану арқылы пайдаланушы тарапынан жүзеге асырылады ««, онда тараптардың ешқайсысы тексерілетін деректердің мазмұнын білмейді. Ерікті префикстерді сұрау арқылы дөрекі күшпен анықталатын бұзылған тіркелгілердің дерекқорының мазмұнын қорғау үшін жіберілген деректер логин мен парольдің тексерілген тіркесімі негізінде жасалған кілтке байланысты шифрланады.
Ақпарат көзі: opennet.ru