Google sobre a disponibilidade de proteção contra envios inseguros de formulários da Web em uma versão futura do Chrome 86. A proteção diz respeito a formulários exibidos em páginas carregadas por HTTPS, mas enviando dados sem criptografia por HTTP, o que cria a ameaça de interceptação e falsificação de dados durante ataques MITM. Para esses formulários web mistos, três alterações foram implementadas:
- O preenchimento automático de quaisquer formulários de entrada mistos foi desativado, semelhante à forma como o preenchimento automático de formulários de autenticação em páginas abertas via HTTP foi desativado há algum tempo. Se antes um sinal para desabilitar era abrir uma página com formulário via HTTPS ou HTTP, agora também será levado em consideração o uso de criptografia no envio de dados para o manipulador de formulários. O gerenciador de senhas, que permite o uso de senhas fortes e exclusivas para formas mistas de autenticação, não será desabilitado, pois o risco de usar uma senha insegura e reutilizar senhas em sites diferentes supera o risco de potencial interceptação de tráfego.
- Ao iniciar a inserção de formulários mistos, será exibido um aviso informando ao usuário que os dados preenchidos estão sendo enviados por meio de um canal de comunicação não criptografado.
- Se você tentar enviar um formulário misto, uma página separada será exibida notificando-o sobre o risco potencial de transmissão de dados através de um canal de comunicação não criptografado. Nas versões anteriores, um indicador de cadeado no dreno de endereço era usado para indicar formas mistas, mas tal marcação não era óbvia para os usuários e não refletia efetivamente os riscos emergentes.
Fonte: opennet.ru