Google
Pastebima, kad šiuo metu daugiau nei 90 % svetainių „Chrome“ naudotojai atidaro naudodami HTTPS. Be šifravimo įkeltų intarpų buvimas kelia grėsmę saugumui keičiant neapsaugotą turinį, jei yra valdomas ryšio kanalas (pavyzdžiui, kai jungiamasi per atvirą „Wi-Fi“). Nustatyta, kad mišraus turinio indikatorius yra neveiksmingas ir klaidinantis vartotoją, nes nepateikia aiškaus puslapio saugumo įvertinimo.
Šiuo metu pavojingiausi mišraus turinio tipai, pvz., scenarijai ir „iframe“, jau yra blokuojami pagal numatytuosius nustatymus, tačiau vaizdus, garso failus ir vaizdo įrašus vis tiek galima atsisiųsti adresu http://. Apgaudinėdamas vaizdus, užpuolikas gali pakeisti naudotojo sekimo slapukus, bandyti išnaudoti vaizdo procesorių pažeidžiamumą arba atlikti klastojimą, pakeisdamas vaizde pateiktą informaciją.
Blokavimo įvedimas yra padalintas į kelis etapus. Gruodžio 79 d. numatomoje versijoje Chrome 10 bus naujas nustatymas, kuris leis išjungti konkrečių svetainių blokavimą. Šis nustatymas bus taikomas mišriam turiniui, kuris jau yra užblokuotas, pvz., scenarijus ir iframe, ir bus iškviestas per meniu, kuris išskleidžiamas spustelėjus užrakto simbolį, pakeisdamas anksčiau pasiūlytą blokavimo išjungimo indikatorių.
„Chrome 80“, kuris turėtų pasirodyti vasario 4 d., naudos minkšto garso ir vaizdo failų blokavimo schemą, ty automatiškai pakeis http:// nuorodas į https://, o tai išsaugos funkcionalumą, jei probleminis šaltinis bus pasiekiamas ir per HTTPS . Vaizdai ir toliau bus įkeliami be pakeitimų, bet jei atsisiunčiami naudojant http://, https:// puslapiuose visame puslapyje bus rodomas nesaugaus ryšio indikatorius. Norėdami automatiškai pakeisti į https arba blokuoti vaizdus, svetainių kūrėjai galės naudoti CSP ypatybių atnaujinimo-nesaugių-užklausų ir blokuoti-visą mišrų turinį. „Chrome 81“, numatytas kovo 17 d., automatiškai pataisys http:// į https://, kai įkeliami mišrūs vaizdai.
Be to, Google
Siekiant išlaikyti konfidencialumą, prisijungiant prie išorinės API, perduodami tik pirmieji du prisijungimo vardo ir slaptažodžio maišos baitai (naudojamas maišos algoritmas
Šaltinis: opennet.ru