Google iwwer d'Verännerung vun der Approche fir d'Veraarbechtung vu gemëschten Inhalter op Säiten déi iwwer HTTPS opgemaach sinn. Virdrun, wann et Komponente waren op Säiten, déi iwwer HTTPS opgemaach goufen, déi vun ouni Verschlësselung gelueden goufen (iwwer http:// Protokoll), gouf e speziellen Indikator ugewisen. An Zukunft gouf decidéiert d'Luede vun esou Ressourcen als Standard ze blockéieren. Also, Säiten, déi iwwer "https://" opgemaach sinn, wäerte garantéiert nëmme Ressourcen enthalen, déi iwwer e séchere Kommunikatiounskanal erofgeluede ginn.
Et gëtt bemierkt datt de Moment méi wéi 90% vun de Site vu Chrome Benotzer opgemaach ginn mat HTTPS. D'Präsenz vun Inserts, déi ouni Verschlësselung gelueden sinn, erstellt Sécherheetsbedrohungen duerch Ännerung vun ongeschützten Inhalt wann et Kontroll iwwer de Kommunikatiounskanal ass (zum Beispill wann Dir iwwer oppene Wi-Fi verbënnt). De gemëschten Inhaltsindikator gouf als ineffektiv a irféierend fir de Benotzer fonnt, well et keng kloer Bewäertung vun der Sécherheet vun der Säit gëtt.
Am Moment sinn déi geféierlechst Zorte vu gemëschten Inhalter, wéi Scripten an iframes, scho par défaut gespaart, awer Biller, Audiodateien a Videoe kënnen nach ëmmer iwwer http:// erofgeluede ginn. Duerch Bildspoofing kann en Ugräifer Benotzer Tracking Cookies ersetzen, probéieren Schwachstelle bei Bildveraarbechter auszenotzen oder Fälschung ze maachen andeems d'Informatioun am Bild ersat gëtt.
D'Aféierung vun der Blockéierung ass an e puer Etappen opgedeelt. Chrome 79, geplangt fir den Dezember 10th, wäert eng nei Astellung hunn, déi Iech erlaabt d'Blockéierung fir spezifesch Siten auszeschalten. Dës Astellung gëtt op gemëschten Inhalt applizéiert, dee scho blockéiert ass, wéi Scripten an iframes, a gëtt duerch de Menü opgeruff deen erofgeet wann Dir op d'Spärsymbol klickt, an ersetzt de virdru proposéierten Indikator fir d'Blockéierung auszeschalten.
Chrome 80, deen de 4. Februar erwaart gëtt, wäert e mëlle Blockéierungsschema fir Audio- a Videodateien benotzen, wat den automateschen Ersatz vun http:// Links mat https:// implizéiert, wat d'Funktionalitéit behalen wann déi problematesch Ressource och iwwer HTTPS zougänglech ass. . D'Biller wäerte weider ouni Ännerunge lueden, awer wann se iwwer http:// erofgeluede ginn, weisen d'https:// Säiten en onséchere Verbindungsindikator fir déi ganz Säit. Fir automatesch op https z'änneren oder Biller ze blockéieren, kënnen d'Site Entwéckler d'CSP Properties upgrade-insecure-requests a block-all-mixed-content benotzen. Chrome 81, geplangt fir de 17. Mäerz, korrigéiert http: // op https:// fir gemëschte Bilduploads.
Zousätzlech, Google iwwer d'Integratioun an eng vun den nächste Verëffentlechunge vum Chome Browser vun der neier Passwuert Checkup Komponent, virdru an der Form . Integratioun féiert zu der Erscheinung am normale Chrome Passwuertmanager vun Tools fir d'Zouverlässegkeet vun de Passwierder ze analyséieren, déi vum Benotzer benotzt ginn. Wann Dir probéiert op all Site ze aloggen, gëtt Äre Login a Passwuert géint eng Datebank vu kompromittéierte Konten iwwerpréift, mat enger Warnung ugewisen wann Probleemer festgestallt ginn. De Scheck gëtt géint eng Datebank duerchgefouert, déi méi wéi 4 Milliarde kompromittéiert Konten ofdeckt, déi a leckte Benotzerdatenbanken opgetaucht sinn. Eng Warnung gëtt och ugewisen wann Dir probéiert trivial Passwierder ze benotzen wéi "abc123" (vum Google 23% vun den Amerikaner benotzen ähnlech Passwierder), oder wann se datselwecht Passwuert op verschidde Site benotzen.
Fir d'Vertraulechkeet z'erhalen, wann Dir Zougang zu enger externer API gitt, ginn nëmmen déi éischt zwee Bytes vum Hash vum Login a Passwuert iwwerdroen (den Hashing-Algorithmus gëtt benotzt ). De vollen Hash ass verschlësselt mat engem Schlëssel generéiert op der Säit vum Benotzer. Déi ursprénglech Hashes an der Google Datebank sinn och zousätzlech verschlësselte an nëmmen déi éischt zwee Bytes vum Hash bleiwen fir Indexéierung. Déi lescht Verifizéierung vun den Hashes, déi ënner dem iwwerdroenen Zwee-Byte Präfix falen, gëtt op der Säit vum Benotzer mat der kryptografescher Technologie duerchgefouert "", an deem keng Partei den Inhalt vun den Donnéeën, déi gepréift ginn, weess. Fir géint den Inhalt vun enger Datebank vu kompromittéierte Konten ze schützen, déi duerch brute Kraaft mat enger Ufro fir arbiträr Präfixe festgeluegt ginn, ginn déi iwwerdroen Donnéeë verschlësselt a Verbindung mat engem Schlëssel generéiert op Basis vun enger verifizéierter Kombinatioun vu Login a Passwuert.
Source: opennet.ru