Google dwar il-bidla tal-approċċ għall-ipproċessar ta 'kontenut imħallat fuq paġni miftuħa permezz ta' HTTPS. Preċedentement, jekk kien hemm komponenti fuq paġni miftuħa permezz ta 'HTTPS li kienu mgħobbija minn mingħajr encryption (permezz tal-protokoll http://), kien muri indikatur speċjali. Fil-futur, ġie deċiż li jiġi mblokkat it-tagħbija ta' dawn ir-riżorsi b'mod awtomatiku. Għalhekk, il-paġni miftuħa permezz ta’ “https://” se jkun garantit li jkun fihom biss riżorsi mniżżla permezz ta’ kanal ta’ komunikazzjoni sigur.
Ta' min jinnota li bħalissa aktar minn 90% tas-siti jinfetħu minn utenti ta' Chrome li jużaw HTTPS. Il-preżenza ta 'inserzjonijiet mgħobbija mingħajr encryption toħloq theddid għas-sigurtà permezz tal-modifika ta' kontenut mhux protett jekk ikun hemm kontroll fuq il-kanal ta 'komunikazzjoni (per eżempju, meta tikkonnettja permezz ta' Wi-Fi miftuħ). L-indikatur tal-kontenut imħallat instab li ma kienx effettiv u qarrieqi għall-utent, peress li ma jipprovdix valutazzjoni ċara tas-sigurtà tal-paġna.
Bħalissa, l-aktar tipi perikolużi ta 'kontenut imħallat, bħal skripts u iframes, huma diġà mblukkati b'mod awtomatiku, iżda immaġini, fajls awdjo u vidjows xorta jistgħu jitniżżlu permezz ta' http://. Permezz ta’ spoofing tal-immaġini, attakkant jista’ jissostitwixxi Cookies tat-traċċar tal-utent, jipprova jisfrutta l-vulnerabbiltajiet fil-proċessuri tal-immaġni, jew jikkommetti falsifikazzjoni billi jissostitwixxi l-informazzjoni pprovduta fl-immaġni.
L-introduzzjoni ta 'l-imblukkar hija maqsuma f'diversi stadji. Chrome 79, ippjanat għall-10 ta' Diċembru, se jkollu setting ġdid li jippermettilek li tiddiżattiva l-imblukkar għal siti speċifiċi. Dan l-issettjar se jiġi applikat għal kontenut imħallat li huwa diġà mblukkat, bħal skripts u iframes, u se jissejjaħ permezz tal-menu li jinżel meta tikklikkja fuq is-simbolu tal-lock, li jissostitwixxi l-indikatur propost qabel biex jiġi diżattivat l-imblukkar.
Chrome 80, li huwa mistenni fl-4 ta’ Frar, se juża skema ta’ imblukkar artab għal fajls awdjo u vidjo, li timplika sostituzzjoni awtomatika ta’ http:// links b’https://, li se tippreserva l-funzjonalità jekk ir-riżors problematiku jkun aċċessibbli wkoll permezz ta’ HTTPS . L-immaġini se jkomplu jitgħabbew mingħajr bidliet, iżda jekk jitniżżlu permezz ta' http://, il-paġni https:// se juru indikatur ta' konnessjoni mhux sigura għall-paġna kollha. Biex awtomatikament jibdlu għal https jew jimblokkaw immaġini, l-iżviluppaturi tas-sit se jkunu jistgħu jużaw il-proprjetajiet CSP upgrade-insecure-requests u block-all-mixed-content. Chrome 81, skedat għas-17 ta' Marzu, se jikkoreġi awtomatikament http:// għal https:// għal uploads ta' immaġni mħallta.
Barra minn hekk, Google dwar l-integrazzjoni f'wieħed mir-rilaxxi li jmiss tal-browser Chome tal-komponent il-ġdid tal-Password Checkup, qabel fil - forma ta ' . L-integrazzjoni se twassal għad-dehra fil-maniġer tal-passwords Chrome regolari ta 'għodod għall-analiżi tal-affidabbiltà tal-passwords użati mill-utent. Meta tipprova tidħol fi kwalunkwe sit, il-login u l-password tiegħek jiġu ċċekkjati ma' database ta' kontijiet kompromessi, bi twissija murija jekk jinstabu problemi. Il-verifika titwettaq fuq database li tkopri aktar minn 4 biljun kontijiet kompromessi li dehru f'databases tal-utenti li ħarġu. Tintwera wkoll twissija jekk tipprova tuża passwords trivjali bħal "abc123" (minn Google 23% tal-Amerikani jużaw passwords simili), jew meta jużaw l-istess password fuq siti multipli.
Biex tinżamm il-kunfidenzjalità, meta taċċessa API esterna, jiġu trasmessi biss l-ewwel żewġ bytes tal-hash tal-login u l-password (jintuża l-algoritmu tal-hashing ). Il-hash sħiħ huwa encrypted b'ċavetta ġġenerata min-naħa tal-utent. Il-hashes oriġinali fid-database tal-Google huma kkodifikati wkoll u l-ewwel żewġ bytes biss tal-hash jitħallew għall-indiċjar. Il-verifika finali ta 'hashes li jaqgħu taħt il-prefiss ta' żewġ byte trażmess titwettaq min-naħa tal-utent bl-użu ta 'teknoloġija kriptografika "“, fejn l-ebda parti ma tkun taf il-kontenut tad-dejta li tkun qed tiġi vverifikata. Biex tipproteġi kontra l-kontenut ta 'database ta' kontijiet kompromessi li jiġi ddeterminat b'forza brutali b'talba għal prefissi arbitrarji, id-dejta trażmessa hija encrypted b'konnessjoni ma 'ċavetta ġġenerata fuq il-bażi ta' kombinazzjoni verifikata ta 'login u password.
Sors: opennet.ru