Google HTTPS-ээр нээсэн хуудсан дээрх холимог контентыг боловсруулах хандлагыг өөрчлөх тухай. Өмнө нь HTTPS-ээр нээгдсэн хуудсууд дээр шифрлэлтгүйгээр (http:// протоколоор) ачаалагдсан бүрэлдэхүүн хэсгүүд байсан бол тусгай үзүүлэлт гарч ирдэг байв. Цаашид ийм нөөцийн ачааллыг анхдагч байдлаар хаахаар шийдсэн. Тиймээс "https://"-ээр нээгдсэн хуудсууд нь зөвхөн аюулгүй харилцааны сувгаар татаж авсан эх сурвалжуудыг агуулсан байх болно.
Одоогоор сайтуудын 90 гаруй хувийг Chrome хэрэглэгчид HTTPS ашиглан нээж байна. Шифрлэлтгүйгээр ачаалагдсан оруулга байгаа нь харилцаа холбооны сувгийг хянах боломжтой (жишээлбэл, нээлттэй Wi-Fi-аар холбогдох үед) хамгаалалтгүй контентыг өөрчлөх замаар аюулгүй байдлын аюулыг бий болгодог. Холимог контентын индикатор нь хуудасны аюулгүй байдлын талаар тодорхой үнэлгээ өгөхгүй байгаа тул үр дүн муутай, хэрэглэгчийг төөрөгдүүлсэн нь тогтоогдсон.
Одоогоор скрипт, iframe гэх мэт хамгийн аюултай холимог контентууд нь анхдагчаар хаагдсан ч зураг, аудио файл, видеог http:// хаягаар татаж авах боломжтой хэвээр байна. Зургийг хууран мэхлэх замаар халдагчид хэрэглэгчийн мөрдөх күүкиг орлуулж, зураг боловсруулагчийн сул талыг ашиглахыг оролдох эсвэл зурагт өгсөн мэдээллийг солих замаар хуурамчаар үйлдэх боломжтой.
Блоклохыг нэвтрүүлэх нь хэд хэдэн үе шатанд хуваагдана. 79-р сарын 10-нд гарах Chrome XNUMX нь тодорхой сайтуудыг хориглохыг идэвхгүй болгох шинэ тохиргоотой болно. Энэ тохиргоог скрипт, iframe зэрэг аль хэдийн хаасан холимог контентод ашиглах бөгөөд түгжих тэмдэг дээр дарахад доош унадаг цэсээр дуудагдах бөгөөд өмнө нь хориглохыг идэвхгүй болгохын тулд санал болгосон индикаторыг солих болно.
80-р сарын 4-нд гарах Chrome 81 нь аудио болон видео файлуудыг зөөлөн блоклох схемийг ашиглах бөгөөд энэ нь http:// холбоосыг https://-ээр автоматаар солих бөгөөд энэ нь асуудалтай эх сурвалжийг HTTPS-ээр дамжуулан ашиглах боломжтой бол функцийг хадгалах болно. . Зургууд өөрчлөгдөөгүй ачаалагдах болно, гэхдээ http://-ээр татаж авбал https:// хуудсууд бүхэлдээ хуудасны аюулгүй холболтын үзүүлэлтийг харуулах болно. Https руу автоматаар солих эсвэл зургийг хаахын тулд сайтын хөгжүүлэгчид CSP шинж чанаруудыг upgrade-incedure-requests болон блок-бүгд-холимог контентыг ашиглах боломжтой болно. Гуравдугаар сарын 17-нд төлөвлөгдсөн Chrome XNUMX нь холимог зураг байршуулахад http://-г https:// руу автоматаар засах болно.
Үүнээс гадна Google Өмнө нь нууц үг шалгах шинэ бүрэлдэхүүн хэсгийн Chome хөтчийн дараагийн хувилбаруудын нэгэнд нэгтгэх тухай хэлбэрээр . Интеграцчилал нь Chrome-ын ердийн нууц үгийн менежерт хэрэглэгчийн ашигладаг нууц үгийн найдвартай байдалд дүн шинжилгээ хийх хэрэгслүүд гарч ирэхэд хүргэнэ. Таныг аль ч сайт руу нэвтрэхийг оролдох үед таны нэвтрэх нэр болон нууц үгийг нууцлагдсан акаунтуудын мэдээллийн сантай харьцуулан шалгах бөгөөд асуудал илэрсэн тохиолдолд анхааруулга өгөх болно. Шалгалт нь задруулсан хэрэглэгчийн мэдээллийн санд илэрсэн 4 тэрбум гаруй нууц дансыг хамарсан мэдээллийн баазтай холбоотой юм. Хэрэв та "abc123" гэх мэт энгийн нууц үг ашиглахыг оролдвол анхааруулга гарч ирнэ. Google Америкчуудын 23% нь ижил төстэй нууц үг ашигладаг) эсвэл олон сайт дээр ижил нууц үгийг ашигладаг.
Нууцлалыг хадгалахын тулд гадаад API руу нэвтрэхдээ нэвтрэх болон нууц үгийн хэшийн эхний хоёр байт л дамждаг (хэш алгоритмыг ашигладаг). ). Бүрэн хэш нь хэрэглэгчийн талд үүсгэсэн түлхүүрээр шифрлэгдсэн байдаг. Google-ийн мэдээллийн сан дахь анхны хэшүүд нь мөн нэмэлт шифрлэгдсэн бөгөөд зөвхөн эхний хоёр байт хэшийг индексжүүлэхэд үлддэг. Дамжуулсан хоёр байт угтварт хамаарах хэшүүдийн эцсийн баталгаажуулалтыг криптографийн технологийг ашиглан хэрэглэгчийн талд хийдэг.", аль ч тал шалгаж байгаа мэдээллийн агуулгыг мэдэхгүй байна. Эвдэрсэн акаунтын мэдээллийн сангийн агуулгыг дурын угтвар оруулах хүсэлтээр бүдүүлэг хүчээр тодорхойлохоос хамгаалахын тулд дамжуулагдсан өгөгдлийг нэвтрэх болон нууц үгийн баталгаажуулсан хослолын үндсэн дээр үүсгэсэн түлхүүртэй холбож шифрлэдэг.
Эх сурвалж: opennet.ru