Google
Należy zauważyć, że obecnie ponad 90% stron internetowych jest otwieranych przez użytkowników Chrome przy użyciu protokołu HTTPS. Obecność wstawek załadowanych bez szyfrowania stwarza zagrożenia bezpieczeństwa poprzez modyfikację niechronionych treści w przypadku kontroli nad kanałem komunikacyjnym (na przykład podczas łączenia się przez otwarte Wi-Fi). Wskaźnik zawartości mieszanej okazał się nieskuteczny i wprowadzający w błąd użytkownika, gdyż nie pozwala na jednoznaczną ocenę bezpieczeństwa strony.
Obecnie najniebezpieczniejsze typy treści mieszanych, takie jak skrypty i ramki iframe, są już domyślnie blokowane, ale obrazy, pliki audio i filmy nadal można pobierać za pośrednictwem witryny http://. Poprzez fałszowanie obrazu osoba atakująca może zastąpić pliki cookie śledzące użytkownika, spróbować wykorzystać luki w procesorach obrazu lub popełnić fałszerstwo, zastępując informacje zawarte w obrazie.
Wprowadzenie blokady podzielone jest na kilka etapów. Chrome 79, którego premiera zaplanowana jest na 10 grudnia, będzie zawierał nowe ustawienie, które umożliwi wyłączenie blokowania określonych witryn. To ustawienie zostanie zastosowane do treści mieszanych, które są już zablokowane, np. skryptów i ramek iframe, i będzie wywoływane poprzez menu rozwijane po kliknięciu symbolu kłódki, zastępując wcześniej proponowany wskaźnik wyłączania blokowania.
Chrome 80, którego premiera ma nastąpić 4 lutego, będzie korzystać z miękkiego schematu blokowania plików audio i wideo, co oznacza automatyczne zastępowanie linków http:// przez https://, co zachowa funkcjonalność, jeśli problematyczny zasób będzie dostępny również przez HTTPS . Obrazy będą nadal ładowane bez zmian, ale jeśli zostaną pobrane przez http://, strony https:// będą wyświetlać wskaźnik niepewnego połączenia dla całej strony. Aby automatycznie przejść na https lub zablokować obrazy, twórcy witryny będą mogli korzystać z właściwości CSP: upgrade-insecure-requests i block-all-mixed-content. Chrome 81, którego premiera zaplanowana jest na 17 marca, automatycznie poprawi http:// na https:// w przypadku przesyłanych obrazów mieszanych.
Poza tym Google
Aby zachować poufność, podczas uzyskiwania dostępu do zewnętrznego API przesyłane są tylko dwa pierwsze bajty skrótu loginu i hasła (stosowany jest algorytm hashujący
Źródło: opennet.ru