Google par pieejas maiņu jaukta satura apstrādei lapās, kas atvērtas, izmantojot HTTPS. Iepriekš, ja lapās, kas tika atvērtas, izmantojot HTTPS, bija komponenti, kas tika ielādēti bez šifrēšanas (izmantojot http:// protokolu), tika parādīts īpašs indikators. Nākotnē ir nolemts bloķēt šādu resursu ielādi pēc noklusējuma. Tādējādi lapās, kas atvērtas, izmantojot “https://”, tiks garantēti tikai resursi, kas lejupielādēti, izmantojot drošu saziņas kanālu.
Tiek atzīmēts, ka pašlaik vairāk nekā 90% vietņu atver Chrome lietotāji, izmantojot HTTPS. Bez šifrēšanas ielādētu ieliktņu klātbūtne rada drošības draudus, mainot neaizsargātu saturu, ja ir kontrole pār sakaru kanālu (piemēram, savienojoties, izmantojot atvērtu Wi-Fi). Jauktā satura rādītājs tika atzīts par neefektīvu un lietotāju maldinošu, jo nesniedz skaidru lapas drošības novērtējumu.
Pašlaik visbīstamākie jauktā satura veidi, piemēram, skripti un iframe, jau ir bloķēti pēc noklusējuma, taču attēlus, audio failus un videoklipus joprojām var lejupielādēt, izmantojot vietni http://. Izmantojot attēlu viltošanu, uzbrucējs var aizstāt ar lietotāja izsekošanas sīkfailiem, mēģināt izmantot attēlu procesoru ievainojamības vai veikt viltojumus, aizstājot attēlā sniegto informāciju.
Bloķēšanas ieviešana ir sadalīta vairākos posmos. Pārlūkā Chrome 79, kas paredzēts 10. decembrim, būs jauns iestatījums, kas ļaus atspējot noteiktu vietņu bloķēšanu. Šis iestatījums tiks lietots jauktam saturam, kas jau ir bloķēts, piemēram, skriptiem un iframe, un tiks izsaukts nolaižamajā izvēlnē, noklikšķinot uz bloķēšanas simbola, aizstājot iepriekš piedāvāto bloķēšanas atspējošanas indikatoru.
Chrome 80, kas gaidāms 4. februārī, izmantos mīksto bloķēšanas shēmu audio un video failiem, kas nozīmē automātisku http:// saišu aizstāšanu ar https://, kas saglabās funkcionalitāti, ja problemātiskais resurss būs pieejams arī caur HTTPS . Attēli turpināsies bez izmaiņām, taču, ja tie tiks lejupielādēti, izmantojot http://, https:// lapās tiks rādīts nedroša savienojuma indikators visai lapai. Lai automātiski pārslēgtos uz https vai bloķētu attēlus, vietņu izstrādātāji varēs izmantot CSP rekvizītus upgrade-insecure-requests un block-all-mixed-content. Chrome 81, kas paredzēts 17. martā, jauktu attēlu augšupielādēm automātiski labos http:// uz https://.
Turklāt Google par jaunā Password Checkup komponenta integrāciju vienā no nākamajiem pārlūkprogrammas Chome laidieniem formā . Integrācijas rezultātā parastajā Chrome paroļu pārvaldniekā parādīsies rīki lietotāja izmantoto paroļu uzticamības analīzei. Mēģinot pieteikties jebkurā vietnē, jūsu pieteikumvārds un parole tiks pārbaudīti, salīdzinot ar apdraudēto kontu datu bāzi, un, ja tiks atklātas problēmas, tiks parādīts brīdinājums. Pārbaude tiek veikta, izmantojot datubāzi, kas aptver vairāk nekā 4 miljardus apdraudētu kontu, kas parādījās lietotāju datubāzēs, kurās ir noplūde. Brīdinājums tiks parādīts arī tad, ja mēģināsit izmantot nenozīmīgas paroles, piemēram, "abc123" (by Google 23% amerikāņu izmanto līdzīgas paroles), vai arī izmantojot vienu un to pašu paroli vairākās vietnēs.
Lai saglabātu konfidencialitāti, piekļūstot ārējai API, tiek pārsūtīti tikai pirmie divi pieteikumvārda un paroles jaukšanas baiti (tiek izmantots jaukšanas algoritms ). Pilna hash tiek šifrēta ar atslēgu, kas ģenerēta lietotāja pusē. Sākotnējie Google datubāzes jaucējfaili arī tiek papildus šifrēti un indeksēšanai tiek atstāti tikai pirmie divi baiti. Jaukšanas, kas ietilpst pārsūtītajā divu baitu prefiksā, galīgā pārbaude tiek veikta lietotāja pusē, izmantojot kriptogrāfijas tehnoloģiju.“, kurā neviena no pusēm nezina pārbaudāmo datu saturu. Lai aizsargātu pret apdraudēto kontu datu bāzes satura noteikšanu ar brutālu spēku, pieprasot patvaļīgus prefiksus, pārsūtītie dati tiek šifrēti saistībā ar atslēgu, kas ģenerēta, pamatojoties uz pārbaudītu pieteikumvārda un paroles kombināciju.
Avots: opennet.ru