Google
Et gëtt bemierkt datt de Moment méi wéi 90% vun de Site vu Chrome Benotzer opgemaach ginn mat HTTPS. D'Präsenz vun Inserts, déi ouni Verschlësselung gelueden sinn, erstellt Sécherheetsbedrohungen duerch Ännerung vun ongeschützten Inhalt wann et Kontroll iwwer de Kommunikatiounskanal ass (zum Beispill wann Dir iwwer oppene Wi-Fi verbënnt). De gemëschten Inhaltsindikator gouf als ineffektiv a irféierend fir de Benotzer fonnt, well et keng kloer Bewäertung vun der Sécherheet vun der Säit gëtt.
Am Moment sinn déi geféierlechst Zorte vu gemëschten Inhalter, wéi Scripten an iframes, scho par défaut gespaart, awer Biller, Audiodateien a Videoe kënnen nach ëmmer iwwer http:// erofgeluede ginn. Duerch Bildspoofing kann en Ugräifer Benotzer Tracking Cookies ersetzen, probéieren Schwachstelle bei Bildveraarbechter auszenotzen oder Fälschung ze maachen andeems d'Informatioun am Bild ersat gëtt.
D'Aféierung vun der Blockéierung ass an e puer Etappen opgedeelt. Chrome 79, geplangt fir den Dezember 10th, wäert eng nei Astellung hunn, déi Iech erlaabt d'Blockéierung fir spezifesch Siten auszeschalten. Dës Astellung gëtt op gemëschten Inhalt applizéiert, dee scho blockéiert ass, wéi Scripten an iframes, a gëtt duerch de Menü opgeruff deen erofgeet wann Dir op d'Spärsymbol klickt, an ersetzt de virdru proposéierten Indikator fir d'Blockéierung auszeschalten.
Chrome 80, deen de 4. Februar erwaart gëtt, wäert e mëlle Blockéierungsschema fir Audio- a Videodateien benotzen, wat den automateschen Ersatz vun http:// Links mat https:// implizéiert, wat d'Funktionalitéit behalen wann déi problematesch Ressource och iwwer HTTPS zougänglech ass. . D'Biller wäerte weider ouni Ännerunge lueden, awer wann se iwwer http:// erofgeluede ginn, weisen d'https:// Säiten en onséchere Verbindungsindikator fir déi ganz Säit. Fir automatesch op https z'änneren oder Biller ze blockéieren, kënnen d'Site Entwéckler d'CSP Properties upgrade-insecure-requests a block-all-mixed-content benotzen. Chrome 81, geplangt fir de 17. Mäerz, korrigéiert http: // op https:// fir gemëschte Bilduploads.
Zousätzlech, Google
Fir d'Vertraulechkeet z'erhalen, wann Dir Zougang zu enger externer API gitt, ginn nëmmen déi éischt zwee Bytes vum Hash vum Login a Passwuert iwwerdroen (den Hashing-Algorithmus gëtt benotzt
Source: opennet.ru