Chrome သည် HTTPS စာမျက်နှာများတွင် HTTP ရင်းမြစ်များကို စတင်ပိတ်ဆို့ပြီး စကားဝှက်များ၏ အင်အားကို စစ်ဆေးမည်ဖြစ်သည်။

Google သတိပေးခဲ့သည်။ HTTPS မှတစ်ဆင့် ဖွင့်ထားသော စာမျက်နှာများတွင် ရောနှောထားသော အကြောင်းအရာများကို လုပ်ဆောင်ခြင်းဆီသို့ ချဉ်းကပ်ပုံပြောင်းလဲခြင်းအကြောင်း။ ယခင်က၊ HTTPS မှတစ်ဆင့် ဖွင့်ထားသော စာမျက်နှာများတွင် အစိတ်အပိုင်းများ (http:// protocol မှတစ်ဆင့်) ကို ကုဒ်ဝှက်ခြင်းမပြုဘဲ ဒေါင်းလုဒ်လုပ်ထားသည့် အထူးညွှန်ပြချက်တစ်ခု ပြသခဲ့သည်။ အနာဂတ်တွင်၊ ဤကဲ့သို့သော အရင်းအမြစ်များကို မူရင်းအတိုင်း တင်ခြင်းကို ပိတ်ဆို့ရန် ဆုံးဖြတ်ထားသည်။ ထို့ကြောင့် “https://” မှတစ်ဆင့် ဖွင့်လှစ်ထားသော စာမျက်နှာများသည် လုံခြုံသောဆက်သွယ်ရေးချန်နယ်မှတစ်ဆင့် ဒေါင်းလုဒ်လုပ်ထားသော အရင်းအမြစ်များသာ ပါဝင်မည်ဟု အာမခံပါသည်။

လက်ရှိတွင် ဆိုက်များ၏ 90% ကျော်သည် HTTPS ကို အသုံးပြု၍ Chrome သုံးစွဲသူများက ဖွင့်ထားကြောင်း မှတ်သားရပါသည်။ ကုဒ်ဝှက်ခြင်းမပြုဘဲ ထည့်သွင်းထားသော ထည့်သွင်းမှုများသည် ဆက်သွယ်ရေးချန်နယ်အပေါ် ထိန်းချုပ်မှုရှိလာပါက (ဥပမာ၊ Wi-Fi ဖြင့် ချိတ်ဆက်သည့်အခါ) အကာအကွယ်မဲ့ အကြောင်းအရာကို ပြုပြင်မွမ်းမံခြင်းဖြင့် လုံခြုံရေးခြိမ်းခြောက်မှုများကို ဖန်တီးပေးပါသည်။ စာမျက်နှာ၏လုံခြုံရေးကို ရှင်းရှင်းလင်းလင်း အကဲဖြတ်ချက်မပေးထားသောကြောင့် ရောနှောထားသော အကြောင်းအရာညွှန်ပြချက်သည် ထိရောက်မှုမရှိသည့်အပြင် အသုံးပြုသူကို အထင်မှားစေကြောင်း တွေ့ရှိရပါသည်။

လက်ရှိတွင်၊ Script နှင့် iframes ကဲ့သို့သော အန္တရာယ်အရှိဆုံးသော ရောစပ်ထားသော အကြောင်းအရာအမျိုးအစားများကို မူရင်းအတိုင်း ပိတ်ဆို့ထားပြီးဖြစ်သော်လည်း ပုံများ၊ အသံဖိုင်များနှင့် ဗီဒီယိုများကို http:// မှတစ်ဆင့် ဒေါင်းလုဒ်လုပ်နိုင်ဆဲဖြစ်သည်။ ရုပ်ပုံအတုအယောင်ပြုလုပ်ခြင်းဖြင့် တိုက်ခိုက်သူသည် အသုံးပြုသူခြေရာခံခြင်း Cookies များကို အစားထိုးနိုင်သည်၊ ရုပ်ပုံပရိုဆက်ဆာများတွင် အားနည်းချက်များကို အသုံးချရန်၊ သို့မဟုတ် ပုံတွင်ပေးထားသည့် အချက်အလက်များကို အစားထိုးခြင်းဖြင့် အတုအပပြုလုပ်နိုင်သည်။

ပိတ်ဆို့ခြင်း၏နိဒါန်းကိုအဆင့်များစွာခွဲထားသည်။ ဒီဇင်ဘာ 79 ရက်အတွက် သတ်မှတ်ထားသော Chrome 10 သည် သတ်မှတ်ထားသောဆိုက်များအတွက် ပိတ်ဆို့ခြင်းကို ပိတ်နိုင်စေမည့် ဆက်တင်အသစ်တစ်ခုပါရှိသည်။ ဤဆက်တင်ကို ဇာတ်ညွှန်းများနှင့် iframes များကဲ့သို့သော ပိတ်ဆို့ပြီးသား အကြောင်းအရာများကို ရောနှောအသုံးပြုနိုင်မည်ဖြစ်ပြီး လော့ခ်သင်္ကေတကို နှိပ်သည့်အခါတွင် ကျဆင်းသွားသည့် မီနူးမှတစ်ဆင့် ဆင့်ခေါ်မည်ဖြစ်ပြီး၊ ပိတ်ဆို့ခြင်းကို ပိတ်ရန်အတွက် ယခင်အဆိုပြုထားသည့် ညွှန်ကိန်းကို အစားထိုးမည်ဖြစ်သည်။

ဖေဖော်ဝါရီ 80 ရက်နေ့တွင် မျှော်လင့်ထားသည့် Chrome 4 သည် အသံနှင့် ဗီဒီယိုဖိုင်များအတွက် ပျော့ပျောင်းသောပိတ်ဆို့ခြင်းအစီအစဥ်ကို အသုံးပြုမည်ဖြစ်ပြီး၊ ပြဿနာရှိသောအရင်းအမြစ်သည် HTTPS မှတစ်ဆင့်လည်း ရယူအသုံးပြုနိုင်ပါက http:// လင့်ခ်များကို အလိုအလျောက်အစားထိုးခြင်းဖြစ်သည့် http:// လင့်ခ်များကို https:// ဖြင့် အစားထိုးအသုံးပြုနိုင်မည်ဖြစ်သည်။ . ပုံများသည် အပြောင်းအလဲမရှိဘဲ ဆက်လက်တင်နေမည်ဖြစ်ပြီး၊ သို့သော် http:// မှတစ်ဆင့် ဒေါင်းလုဒ်လုပ်ပါက၊ https:// စာမျက်နှာများသည် စာမျက်နှာတစ်ခုလုံးအတွက် မလုံခြုံသောချိတ်ဆက်မှုအညွှန်းကို ပြသမည်ဖြစ်သည်။ https သို့ အလိုအလျောက် ပြောင်းလဲခြင်း သို့မဟုတ် ပုံများကို ပိတ်ဆို့ရန်၊ ဝဘ်ဆိုက် developer များသည် CSP ဂုဏ်သတ္တိများကို အဆင့်မြှင့်ခြင်း-insecure-requests နှင့် block-all-mixed-content ကို အသုံးပြုနိုင်ပါသည်။ မတ်လ 81 ရက်အတွက် စီစဉ်ထားသော Chrome 17 သည် ရောနှောထားသော ပုံအပ်လုဒ်များအတွက် http:// သို့ https:// သို့ အလိုအလျောက်ပြင်ပေးပါမည်။

ထို့အပြင် Google ကြေငြာခဲ့သည် ယခင်က စကားဝှက်စစ်ဆေးခြင်း အစိတ်အပိုင်းအသစ်၏ Chome ဘရောက်ဆာ၏ နောက်ထွက်ရှိမှုများထဲမှ တစ်ခုသို့ ပေါင်းစည်းခြင်းအကြောင်း ဖွံ့ဖြိုးဆဲ ၏ပုံစံ ပြင်ပအပြင်. ပေါင်းစည်းခြင်းသည် အသုံးပြုသူအသုံးပြုသော စကားဝှက်များ၏ ယုံကြည်စိတ်ချရမှုကို ပိုင်းခြားစိတ်ဖြာရန် ကိရိယာများ၏ ပုံမှန် Chrome စကားဝှက်မန်နေဂျာတွင် အသွင်အပြင်ကို ဖြစ်ပေါ်စေမည်ဖြစ်သည်။ မည်သည့်ဆိုက်ကိုမဆို လော့ဂ်အင်ဝင်ရန် ကြိုးစားသောအခါ ပြဿနာများတွေ့ရှိပါက သတိပေးချက်ဖြင့် သင့်အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ကို ဒေတာဘေ့စ်တစ်ခုတွင် စစ်ဆေးမည်ဖြစ်သည်။ ပေါက်ကြားလာသော သုံးစွဲသူဒေတာဘေ့စ်များတွင် ပေါက်ကြားလာသော သုံးစွဲသူဒေတာဘေ့စ်များတွင် ပေါက်ကြားထားသည့် အကောင့်ပေါင်း 4 ဘီလီယံကျော်ကို ဖုံးအုပ်ထားသည့် ဒေတာဘေ့စ်ကို စစ်ဆေးခြင်းဖြစ်သည်။ "abc123" ကဲ့သို့သောအသေးအဖွဲစကားဝှက်များကိုအသုံးပြုရန်ကြိုးစားပါကသတိပေးချက်ကိုလည်းပြသလိမ့်မည်။ စာရင်းအင်းများ Google ၏ 23% သောအမေရိကန်နိုင်ငံသားများသည် အလားတူစကားဝှက်များကို အသုံးပြုကြသည်) သို့မဟုတ် ဆိုက်များစွာတွင် တူညီသောစကားဝှက်ကို အသုံးပြုသည့်အခါ။

လျှို့ဝှက်ထားမှုကို ထိန်းသိမ်းရန်၊ ပြင်ပ API တစ်ခုကို ဝင်ရောက်သည့်အခါ၊ လော့ဂ်အင်နှင့် စကားဝှက်၏ ဟက်ရှ်၏ ပထမနှစ်ဘိုက်ကိုသာ ထုတ်လွှင့်သည် ( hashing algorithm ကို အသုံးပြုထားသည်။ အာဂွန် ၂၀၀) hash အပြည့်အစုံကို အသုံးပြုသူဘက်မှထုတ်ပေးသည့်သော့ဖြင့် ကုဒ်ဝှက်ထားသည်။ Google ဒေတာဘေ့စ်ရှိ မူရင်း hash များကို ထပ်လောင်း ကုဒ်ဝှက်ထားပြီး hash ၏ ပထမဘိုက်နှစ်ဘိုက်သာ indexing အတွက် ကျန်နေပါသည်။ ကူးယူထားသော two-byte ရှေ့နောက်ဆက်တွဲအောက်တွင် ကျရောက်နေသော hashe များ၏ နောက်ဆုံးအတည်ပြုချက်ကို cryptographic နည်းပညာကို အသုံးပြု၍ သုံးစွဲသူဘက်မှ ဆောင်ရွက်ပါသည်။မျက်စိကွယ်ခြင်း။“စစ်ဆေးနေတဲ့ အချက်အလက်ရဲ့ အကြောင်းအရာတွေကို ဘယ်ပါတီကမှ မသိပါဘူး။ မတရားအကြပ်အတည်းများရှေ့ဆက်များတောင်းဆိုမှုဖြင့် brute force မှဆုံးဖြတ်ထားသည့်အပေးအယူခံရသောအကောင့်များ၏ဒေတာဘေ့စ်၏အကြောင်းအရာများကိုကာကွယ်ရန်၊ ပေးပို့ထားသောဒေတာကို အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ပေါင်းစပ်မှုတို့အပေါ်အခြေခံ၍ အတည်ပြုထားသောသော့တစ်ခုနှင့်ဆက်စပ်၍ ပေးပို့သောဒေတာကို ကုဒ်ဝှက်ထားသည်။

source: opennet.ru