Google o spremembi pristopa k obdelavi mešanih vsebin na straneh, odprtih preko HTTPS. Če so bile prej komponente na straneh, odprtih prek HTTPS, ki so bile naložene brez šifriranja (prek protokola http://), se je prikazal poseben indikator. V prihodnosti je bilo odločeno, da se privzeto blokira nalaganje takih virov. Tako bodo strani, odprte prek »https://«, zajamčeno vsebovale samo vire, prenesene prek varnega komunikacijskega kanala.
Opozoriti je treba, da trenutno več kot 90 % spletnih mest odprejo uporabniki Chroma s protokolom HTTPS. Prisotnost vložkov, naloženih brez šifriranja, ustvarja varnostne grožnje s spreminjanjem nezaščitene vsebine, če obstaja nadzor nad komunikacijskim kanalom (na primer pri povezovanju prek odprtega Wi-Fi). Indikator mešane vsebine se je izkazal za neučinkovitega in zavajajočega za uporabnika, saj ne zagotavlja jasne ocene varnosti strani.
Trenutno so najnevarnejše vrste mešane vsebine, kot so skripti in iframe, že privzeto blokirane, vendar je slike, zvočne datoteke in videe še vedno mogoče prenesti prek http://. S ponarejanjem slike lahko napadalec zamenja piškotke za sledenje uporabnikom, poskusi izkoristiti ranljivosti slikovnih procesorjev ali izvede ponarejanje tako, da zamenja informacije, navedene na sliki.
Uvedba blokade je razdeljena na več stopenj. Chrome 79, predviden za 10. december, bo imel novo nastavitev, ki vam bo omogočila onemogočanje blokiranja za določena spletna mesta. Ta nastavitev bo uporabljena za mešano vsebino, ki je že blokirana, kot so skripti in okvirji iframe, in bo priklicana prek menija, ki se spušča, ko kliknete simbol ključavnice, in nadomesti predhodno predlagani indikator za onemogočanje blokiranja.
Chrome 80, ki ga pričakujemo 4. februarja, bo uporabljal shemo mehkega blokiranja za avdio in video datoteke, kar pomeni samodejno zamenjavo povezav http:// s https://, kar bo ohranilo funkcionalnost, če je problematični vir dostopen tudi prek HTTPS. . Slike se bodo še naprej nalagale brez sprememb, a če jih prenesete prek http://, bodo strani https:// prikazale indikator nevarne povezave za celotno stran. Za samodejno spremembo na https ali blokiranje slik bodo razvijalci spletnih mest lahko uporabili lastnosti CSP upgrade-insecure-requests in block-all-mixed-content. Chrome 81, predviden za 17. marec, bo samodejno popravil http:// v https:// za nalaganje mešanih slik.
Poleg tega Google o integraciji nove komponente Password Checkup v eno od naslednjih izdaj brskalnika Chome, prej v obliki . Integracija bo vodila do pojava orodij za analizo zanesljivosti gesel, ki jih uporablja uporabnik, v običajnem upravitelju gesel Chrome. Ko se poskušate prijaviti na katero koli spletno mesto, bosta vaša prijava in geslo preverjena glede na zbirko podatkov o ogroženih računih, ob odkritju težav pa se prikaže opozorilo. Preverjanje se izvaja v bazi podatkov, ki zajema več kot 4 milijarde ogroženih računov, ki so se pojavili v razkritih uporabniških zbirkah podatkov. Opozorilo se prikaže tudi, če poskusite uporabiti trivialna gesla, kot je "abc123" (od Google 23 % Američanov uporablja podobna gesla) ali kadar uporabljajo isto geslo na več spletnih mestih.
Zaradi ohranjanja zaupnosti se pri dostopu do zunanjega API-ja prenašata samo prva dva bajta zgoščene vrednosti prijave in gesla (uporablja se algoritem zgoščevanja ). Celoten hash je šifriran s ključem, ustvarjenim na strani uporabnika. Originalni zgoščeni podatki v Googlovi bazi so prav tako dodatno šifrirani in sta za indeksiranje prepuščena samo prva dva bajta zgoščene vrednosti. Končno preverjanje zgoščenih vrednosti, ki spadajo pod posredovano dvobajtno predpono, se izvede na strani uporabnika s kriptografsko tehnologijo "«, pri katerem nobena stranka ne pozna vsebine podatkov, ki se preverjajo. Za zaščito pred ugotavljanjem vsebine baze ogroženih računov s surovo silo z zahtevo po poljubnih predponah, so posredovani podatki šifrirani v povezavi s ključem, ki se ustvari na podlagi preverjene kombinacije prijave in gesla.
Vir: opennet.ru