Google
Observa-se que atualmente mais de 90% dos sites são abertos por usuários do Chrome usando HTTPS. A presença de inserções carregadas sem criptografia cria ameaças à segurança através da modificação de conteúdo desprotegido se houver controle sobre o canal de comunicação (por exemplo, ao conectar-se via Wi-Fi aberto). O indicador de conteúdo misto foi considerado ineficaz e enganoso para o usuário, pois não fornece uma avaliação clara da segurança da página.
Atualmente, os tipos mais perigosos de conteúdo misto, como scripts e iframes, já estão bloqueados por padrão, mas imagens, arquivos de áudio e vídeos ainda podem ser baixados via http://. Através da falsificação de imagens, um invasor pode substituir cookies de rastreamento do usuário, tentar explorar vulnerabilidades em processadores de imagens ou cometer falsificações substituindo as informações fornecidas na imagem.
A introdução do bloqueio está dividida em várias etapas. O Chrome 79, previsto para 10 de dezembro, contará com uma nova configuração que permitirá desativar o bloqueio para sites específicos. Esta configuração será aplicada a conteúdos mistos já bloqueados, como scripts e iframes, e será acessada através do menu suspenso ao clicar no símbolo de cadeado, substituindo o indicador proposto anteriormente para desabilitar o bloqueio.
O Chrome 80, previsto para 4 de fevereiro, usará um esquema de bloqueio suave para arquivos de áudio e vídeo, implicando na substituição automática de links http:// por https://, o que preservará a funcionalidade caso o recurso problemático também seja acessível via HTTPS . As imagens continuarão sendo carregadas sem alterações, mas se baixadas via http://, as páginas https:// exibirão um indicador de conexão insegura para a página inteira. Para mudar automaticamente para https ou bloquear imagens, os desenvolvedores do site poderão usar as propriedades CSP upgrade-insecure-requests e block-all-mixed-content. O Chrome 81, programado para 17 de março, corrigirá automaticamente http:// para https:// para uploads de imagens mistas.
Além disso, o Google
Para manter a confidencialidade, ao acessar uma API externa, apenas os dois primeiros bytes do hash do login e senha são transmitidos (é utilizado o algoritmo de hash
Fonte: opennet.ru