Google o dostępności ochrony przed niezabezpieczonym przesyłaniem formularzy internetowych w przyszłej wersji przeglądarki Chrome 86. Ochrona dotyczy formularzy wyświetlanych na stronach ładowanych po HTTPS, ale przesyłających dane bez szyfrowania po HTTP, co stwarza zagrożenie przechwycenia i fałszowania danych podczas ataków MITM. W przypadku takich mieszanych formularzy internetowych wprowadzono trzy zmiany:
- Automatyczne wypełnianie mieszanych formularzy wejściowych zostało wyłączone, podobnie jak automatyczne wypełnianie formularzy uwierzytelniających na stronach otwieranych przez HTTP było wyłączone przez dłuższy czas. Jeśli wcześniej oznaką wyłączenia było otwarcie strony z formularzem przez HTTPS lub HTTP, teraz brane będzie pod uwagę również użycie szyfrowania przy przesyłaniu danych do modułu obsługi formularza. Menedżer haseł, który umożliwia stosowanie silnych i unikalnych haseł do mieszanych form uwierzytelniania, nie zostanie wyłączony, ponieważ ryzyko użycia niepewnego hasła i ponownego użycia haseł w różnych witrynach przewyższa ryzyko potencjalnego przechwycenia ruchu.
- Przy rozpoczęciu wprowadzania formularzy mieszanych wyświetli się ostrzeżenie informujące użytkownika, że wypełnione dane przesyłane są niezaszyfrowanym kanałem komunikacji.
- W przypadku próby przesłania formularza mieszanego wyświetli się osobna strona informująca o potencjalnym ryzyku przesyłania danych niezaszyfrowanym kanałem komunikacji. W poprzednich wersjach wskaźnik kłódki w odpływie adresowym służył do oznaczania form mieszanych, jednak takie oznaczenie nie było oczywiste dla użytkowników i nie odzwierciedlało skutecznie pojawiających się zagrożeń.
Źródło: opennet.ru