Google o dostupnosti ochrany pred nezabezpečeným odosielaním webových formulárov v budúcom vydaní prehliadača Chrome 86. Ochrana sa týka formulárov zobrazených na stránkach načítaných cez HTTPS, ale odosielanie dát bez šifrovania cez HTTP, čo vytvára hrozbu zachytenia dát a spoofingu počas MITM útokov. Pre takéto zmiešané webové formuláre boli implementované tri zmeny:
- Automatické vypĺňanie akýchkoľvek zmiešaných vstupných formulárov bolo vypnuté, podobne ako automatické vypĺňanie overovacích formulárov na stránkach otvorených cez HTTP je už nejaký čas vypnuté. Ak predtým znakom na zakázanie bolo otváranie stránky s formulárom cez HTTPS alebo HTTP, teraz sa bude brať do úvahy aj použitie šifrovania pri odosielaní údajov obsluhe formulárov. Správca hesiel, ktorý umožňuje používanie silných a jedinečných hesiel na zmiešané formy autentifikácie, nebude zakázaný, pretože riziko použitia nezabezpečeného hesla a opätovného použitia hesiel na rôznych stránkach prevažuje nad rizikom potenciálneho zachytenia prevádzky.
- Pri spustení zadávania zmiešaných formulárov sa zobrazí upozornenie užívateľa, že vyplnené údaje sú odosielané cez nešifrovaný komunikačný kanál.
- Ak sa pokúsite odoslať zmiešaný formulár, zobrazí sa samostatná stránka s upozornením na potenciálne riziko prenosu údajov cez nešifrovaný komunikačný kanál. V predchádzajúcich verziách sa na označenie zmiešaných formulárov používal indikátor visiaceho zámku v adresnom kanáli, ale takéto označenie nebolo pre používateľov zrejmé a účinne neodrážalo vznikajúce riziká.
Zdroj: opennet.ru