Google tentang mengubah pendekatan untuk memproses kandungan bercampur pada halaman yang dibuka melalui HTTPS. Sebelum ini, jika terdapat komponen pada halaman yang dibuka melalui HTTPS yang dimuatkan daripada tanpa penyulitan (melalui protokol http://), penunjuk khas dipaparkan. Pada masa hadapan, telah diputuskan untuk menyekat pemuatan sumber tersebut secara lalai. Oleh itu, halaman yang dibuka melalui "https://" akan dijamin mengandungi hanya sumber yang dimuat turun melalui saluran komunikasi yang selamat.
Adalah diperhatikan bahawa pada masa ini lebih daripada 90% tapak dibuka oleh pengguna Chrome menggunakan HTTPS. Kehadiran sisipan yang dimuatkan tanpa penyulitan mewujudkan ancaman keselamatan melalui pengubahsuaian kandungan tidak dilindungi jika terdapat kawalan ke atas saluran komunikasi (contohnya, apabila menyambung melalui Wi-Fi terbuka). Penunjuk kandungan campuran didapati tidak berkesan dan mengelirukan pengguna, kerana ia tidak memberikan penilaian yang jelas tentang keselamatan halaman.
Pada masa ini, jenis kandungan campuran yang paling berbahaya, seperti skrip dan iframe, telah disekat secara lalai, tetapi imej, fail audio dan video masih boleh dimuat turun melalui http://. Melalui penipuan imej, penyerang boleh menggantikan Kuki penjejakan pengguna, cuba mengeksploitasi kelemahan dalam pemproses imej atau melakukan pemalsuan dengan menggantikan maklumat yang diberikan dalam imej.
Pengenalan penyekatan dibahagikan kepada beberapa peringkat. Chrome 79, yang dijadualkan pada 10 Disember, akan menampilkan tetapan baharu yang akan membolehkan anda melumpuhkan penyekatan untuk tapak tertentu. Tetapan ini akan digunakan pada kandungan campuran yang telah disekat, seperti skrip dan iframe, dan akan dipanggil melalui menu yang jatuh ke bawah apabila anda mengklik pada simbol kunci, menggantikan penunjuk yang dicadangkan sebelum ini untuk melumpuhkan penyekatan.
Chrome 80, yang dijangka pada 4 Februari, akan menggunakan skim sekatan lembut untuk fail audio dan video, membayangkan penggantian automatik pautan http:// dengan https://, yang akan mengekalkan fungsi jika sumber yang bermasalah juga boleh diakses melalui HTTPS . Imej akan terus dimuatkan tanpa perubahan, tetapi jika dimuat turun melalui http://, halaman https:// akan memaparkan penunjuk sambungan yang tidak selamat untuk keseluruhan halaman. Untuk menukar kepada https atau menyekat imej secara automatik, pembangun tapak akan dapat menggunakan sifat CSP naik taraf-permintaan-tidak-selamat dan sekat-semua-kandungan-campuran. Chrome 81, yang dijadualkan pada 17 Mac, akan membetulkan secara automatik http:// ke https:// untuk muat naik imej bercampur.
Selain itu, Google mengenai penyepaduan ke dalam salah satu keluaran seterusnya pelayar Chome bagi komponen Semakan Kata Laluan baharu, sebelum ini dalam bentuk . Penyepaduan akan membawa kepada kemunculan alat pengurus kata laluan Chrome biasa untuk menganalisis kebolehpercayaan kata laluan yang digunakan oleh pengguna. Apabila anda cuba log masuk ke mana-mana tapak, log masuk dan kata laluan anda akan disemak terhadap pangkalan data akaun yang terjejas, dengan amaran dipaparkan jika masalah dikesan. Semakan dilakukan terhadap pangkalan data yang meliputi lebih daripada 4 bilion akaun terjejas yang muncul dalam pangkalan data pengguna yang bocor. Amaran juga akan dipaparkan jika anda cuba menggunakan kata laluan remeh seperti "abc123" (oleh Google 23% rakyat Amerika menggunakan kata laluan yang serupa), atau apabila menggunakan kata laluan yang sama pada berbilang tapak.
Untuk mengekalkan kerahsiaan, apabila mengakses API luaran, hanya dua bait pertama cincang log masuk dan kata laluan dihantar (algoritma pencincangan digunakan ). Cincang penuh disulitkan dengan kunci yang dijana di sebelah pengguna. Cincang asal dalam pangkalan data Google juga disulitkan tambahan dan hanya dua bait pertama cincang yang tinggal untuk pengindeksan. Pengesahan akhir cincang yang berada di bawah awalan dua bait yang dihantar dijalankan di sisi pengguna menggunakan teknologi kriptografi "β, di mana mana-mana pihak tidak mengetahui kandungan data yang sedang diperiksa. Untuk melindungi daripada kandungan pangkalan data akaun yang terjejas yang ditentukan oleh kekerasan dengan permintaan untuk awalan sewenang-wenangnya, data yang dihantar disulitkan berkaitan dengan kunci yang dijana berdasarkan gabungan log masuk dan kata laluan yang disahkan.
Sumber: opennet.ru