Google over de aankomende release van Chrome 86, die bescherming biedt tegen onveilige verzending van webformulieren. De beveiliging betreft formulieren die worden weergegeven op pagina's die via HTTPS worden geladen, maar die gegevens zonder encryptie via HTTP verzenden. Hierdoor bestaat het risico dat gegevens worden onderschept en vervangen bij MITM-aanvallen. Voor dergelijke gemengde webformulieren zijn drie wijzigingen doorgevoerd:
- Het automatisch invullen van gemengde invoerformulieren is uitgeschakeld, vergelijkbaar met de manier waarop het automatisch invullen van authenticatieformulieren op pagina's die via HTTP worden geopend, al geruime tijd is uitgeschakeld. Als het teken voor uitschakelen voorheen het openen van een pagina met een formulier via HTTPS of HTTP was, wordt nu ook rekening gehouden met het gebruik van encryptie bij het versturen van gegevens naar de formulierhandler. De wachtwoordbeheerder, die het gebruik van sterke en unieke wachtwoorden mogelijk maakt, wordt niet uitgeschakeld voor gemengde vormen van authenticatie. Het risico van het gebruik van een zwak wachtwoord en het hergebruiken van wachtwoorden op verschillende sites is namelijk groter dan het risico van een mogelijke onderschepping van het internetverkeer.
- Wanneer u gegevens in gemengde vorm invoert, wordt er een waarschuwing weergegeven waarin de gebruiker wordt geïnformeerd dat de voltooide gegevens via een ongecodeerd communicatiekanaal worden verzonden.
- Wanneer u een gemengd formulier probeert te versturen, wordt er een aparte pagina weergegeven met een melding over de mogelijke risico's die verbonden zijn aan het verzenden van gegevens via een niet-versleuteld communicatiekanaal. In eerdere versies werd een slotje in de adresbalk gebruikt om gemengde vormen aan te geven, maar dit was niet duidelijk voor gebruikers en bracht de risico's niet effectief over.
Bron: opennet.ru
