Google бар HTTPS аркылуу ачылган беттерде аралаш мазмунду иштетүү ыкмасын өзгөртүү жөнүндө. Мурда HTTPS аркылуу ачылган беттерде шифрлөөсүз (http:// протоколу аркылуу) жүктөлгөн компоненттер болсо, атайын көрсөткүч көрсөтүлүп турган. Келечекте мындай ресурстарды демейки боюнча жүктөөгө бөгөт коюу чечими кабыл алынды. Ошентип, "https://" аркылуу ачылган баракчалар коопсуз байланыш каналы аркылуу жүктөлүп алынган ресурстарды гана камтууга кепилдик берилет.
Белгиленгендей, учурда сайттардын 90% ашыгы HTTPS аркылуу Chrome колдонуучулары тарабынан ачылат. Шифрлөөсүз жүктөлгөн кыстармалардын болушу, эгерде байланыш каналын башкаруу болсо (мисалы, ачык Wi-Fi аркылуу туташууда) корголбогон мазмунду модификациялоо аркылуу коопсуздук коркунучун жаратат. Аралаш мазмун көрсөткүчү натыйжасыз жана колдонуучуну адаштыруучу деп табылды, анткени ал баракчанын коопсуздугуна так баа бербейт.
Учурда скрипттер жана iframes сыяктуу аралаш мазмундун эң коркунучтуу түрлөрү демейки боюнча бөгөттөлгөн, бирок сүрөттөрдү, аудио файлдарды жана видеолорду дагы эле http:// аркылуу жүктөп алууга болот. Сүрөттөрдү бурмалоо аркылуу чабуулчу колдонуучуга көз салуучу кукилерди алмаштыра алат, сүрөт процессорлорунун кемчиликтерин пайдаланууга аракет кылат же сүрөттө көрсөтүлгөн маалыматты алмаштыруу менен жасалмачылык жасай алат.
Бөгөттөөнү киргизүү бир нече этапка бөлүнөт. 79-декабрга белгиленген Chrome 10 жаңы жөндөөлөрдү камтыйт, ал сизге белгилүү бир сайттар үчүн бөгөт коюуну өчүрүүгө мүмкүндүк берет. Бул жөндөө мурунтан эле бөгөттөлгөн аралаш мазмунга, мисалы, скрипттерге жана iframe'лерге колдонулат жана бөгөттөө белгисин басканда ылдый түшүүчү меню аркылуу чакырылып, бөгөттөөнү өчүрүү үчүн мурда сунушталган индикатордун ордуна чакырылат.
80-февралда күтүлүп жаткан Chrome 4 аудио жана видео файлдар үчүн жумшак бөгөттөө схемасын колдонот, бул http:// шилтемелерин https:// менен автоматтык түрдө алмаштырууну билдирет, эгер көйгөйлүү ресурс HTTPS аркылуу да жеткиликтүү болсо, функцияны сактап калат. . Сүрөттөр өзгөрүүсүз жүктөлө берет, бирок http:// аркылуу жүктөлүп алынса, https:// баракчалары бүт бет үчүн кооптуу туташуу көрсөткүчүн көрсөтөт. Автоматтык түрдө https'го өзгөртүү же сүрөттөрдү бөгөттөө үчүн, сайттын иштеп чыгуучулары CSP касиеттерин жаңыртуу-коопсуз-суроолор жана блок-бар-аралаш-мазмундарды колдоно алышат. 81-мартка пландаштырылган Chrome 17 аралаш сүрөттөрдү жүктөө үчүн http:// дегенди https:// деп автоматтык түрдө оңдойт.
Мындан тышкары, Google жаңы Password Checkup компонентинин Chome браузеринин кийинки чыгарылыштарынын бирине интеграциялоо жөнүндө, мурда түрүндө . Интеграция кадимки Chrome сырсөз башкаргычында колдонуучу колдонгон сырсөздөрдүн ишенимдүүлүгүн талдоочу куралдардын пайда болушуна алып келет. Кандайдыр бир сайтка кирүүгө аракет кылганыңызда, сиздин логиниңиз жана сырсөзүңүз бузулган аккаунттардын маалымат базасына каршы текшерилет, эгер көйгөйлөр аныкталса, эскертүү көрсөтүлөт. Текшерүү колдонуучулардын маалымат базаларында пайда болгон 4 миллиарддан ашык бузулган аккаунттарды камтыган маалымат базасына каршы жүргүзүлөт. Эгер сиз "abc123" сыяктуу маанисиз сырсөздөрдү колдонууга аракет кылсаңыз, эскертүү да көрсөтүлөт. Google америкалыктардын 23% окшош сырсөздөрдү колдонушат) же бир эле сырсөздү бир нече сайттарда колдонгондо.
Сырткы API'ге кирүүдө купуялуулукту сактоо үчүн логин менен паролдун хэшинин алгачкы эки байт гана өткөрүлөт (хэшинг алгоритми колдонулат) ). Толук хэш колдонуучу тарапта түзүлгөн ачкыч менен шифрленген. Google маалымат базасындагы оригиналдуу хэштер дагы кошумча шифрленген жана индекстөө үчүн хэштин алгачкы эки байт гана калды. Өткөрүлгөн эки байттык префикстин астына түшкөн хэштердин акыркы текшерүүсү колдонуучу тарабынан криптографиялык технологияны колдонуу менен жүргүзүлөт "", анда эч бир тарап текшерилип жаткан маалыматтардын мазмунун билбейт. Ыкчам префикстерге суроо-талап менен катаал күч менен аныкталган бузулган эсептердин маалымат базасынын мазмунунан коргоо үчүн берилүүчү маалыматтар логин менен паролдун текшерилген комбинациясынын негизинде түзүлгөн ачкычка байланыштуу шифрленген.
Source: opennet.ru