Google apie mišraus turinio apdorojimo metodo keitimą puslapiuose, atidarytuose naudojant HTTPS. Anksčiau, jei puslapiuose, atidarytuose per HTTPS, buvo komponentų, kurie buvo įkelti iš be šifravimo (per http:// protokolą), buvo rodomas specialus indikatorius. Ateityje nuspręsta blokuoti tokių išteklių įkėlimą pagal nutylėjimą. Taigi puslapiuose, atidarytuose naudojant „https://“, bus garantuojami tik ištekliai, atsisiųsti saugiu ryšio kanalu.
Pastebima, kad šiuo metu daugiau nei 90 % svetainių „Chrome“ naudotojai atidaro naudodami HTTPS. Be šifravimo įkeltų intarpų buvimas kelia grėsmę saugumui keičiant neapsaugotą turinį, jei yra valdomas ryšio kanalas (pavyzdžiui, kai jungiamasi per atvirą „Wi-Fi“). Nustatyta, kad mišraus turinio indikatorius yra neveiksmingas ir klaidinantis vartotoją, nes nepateikia aiškaus puslapio saugumo įvertinimo.
Šiuo metu pavojingiausi mišraus turinio tipai, pvz., scenarijai ir „iframe“, jau yra blokuojami pagal numatytuosius nustatymus, tačiau vaizdus, garso failus ir vaizdo įrašus vis tiek galima atsisiųsti adresu http://. Apgaudinėdamas vaizdus, užpuolikas gali pakeisti naudotojo sekimo slapukus, bandyti išnaudoti vaizdo procesorių pažeidžiamumą arba atlikti klastojimą, pakeisdamas vaizde pateiktą informaciją.
Blokavimo įvedimas yra padalintas į kelis etapus. Gruodžio 79 d. numatomoje versijoje Chrome 10 bus naujas nustatymas, kuris leis išjungti konkrečių svetainių blokavimą. Šis nustatymas bus taikomas mišriam turiniui, kuris jau yra užblokuotas, pvz., scenarijus ir iframe, ir bus iškviestas per meniu, kuris išskleidžiamas spustelėjus užrakto simbolį, pakeisdamas anksčiau pasiūlytą blokavimo išjungimo indikatorių.
„Chrome 80“, kuris turėtų pasirodyti vasario 4 d., naudos minkšto garso ir vaizdo failų blokavimo schemą, ty automatiškai pakeis http:// nuorodas į https://, o tai išsaugos funkcionalumą, jei probleminis šaltinis bus pasiekiamas ir per HTTPS . Vaizdai ir toliau bus įkeliami be pakeitimų, bet jei atsisiunčiami naudojant http://, https:// puslapiuose visame puslapyje bus rodomas nesaugaus ryšio indikatorius. Norėdami automatiškai pakeisti į https arba blokuoti vaizdus, svetainių kūrėjai galės naudoti CSP ypatybių atnaujinimo-nesaugių-užklausų ir blokuoti-visą mišrų turinį. „Chrome 81“, numatytas kovo 17 d., automatiškai pataisys http:// į https://, kai įkeliami mišrūs vaizdai.
Be to, Google apie naujojo slaptažodžio patikros komponento integravimą į vieną iš kitų „Chome“ naršyklės leidimų kaip . Dėl integracijos įprastoje „Chrome“ slaptažodžių tvarkyklėje atsiras įrankiai, skirti vartotojo naudojamų slaptažodžių patikimumui analizuoti. Kai bandysite prisijungti prie bet kurios svetainės, jūsų prisijungimo vardas ir slaptažodis bus tikrinami pagal pažeistų paskyrų duomenų bazę, o aptikus problemų bus rodomas įspėjimas. Patikrinama pagal duomenų bazę, apimančią daugiau nei 4 milijardus pažeistų paskyrų, kurios atsirado nutekintose vartotojų duomenų bazėse. Taip pat bus rodomas įspėjimas, jei bandysite naudoti nereikšmingus slaptažodžius, tokius kaip „abc123“ (pagal „Google“ 23 % amerikiečių naudoja panašius slaptažodžius) arba kai naudoja tą patį slaptažodį keliose svetainėse.
Siekiant išlaikyti konfidencialumą, prisijungiant prie išorinės API, perduodami tik pirmieji du prisijungimo vardo ir slaptažodžio maišos baitai (naudojamas maišos algoritmas ). Visa maiša yra užšifruota raktu, sugeneruotu vartotojo pusėje. Originalios maišos Google duomenų bazėje taip pat papildomai užšifruojamos ir indeksavimui paliekami tik pirmieji du maišos baitai. Galutinis maišų, patenkančių į perduotą dviejų baitų priešdėlį, patikrinimas atliekamas vartotojo pusėje naudojant kriptografinę technologiją.“, kurioje nė viena šalis nežino tikrinamų duomenų turinio. Siekiant apsisaugoti, kad pažeistų paskyrų duomenų bazės turinys nebūtų nustatytas žiauria jėga, prašant įvesti savavališkus priešdėlius, perduodami duomenys užšifruojami kartu su raktu, sugeneruotu remiantis patikrintu prisijungimo vardo ir slaptažodžio deriniu.
Šaltinis: opennet.ru