Google rreth ndryshimit të qasjes ndaj përpunimit të përmbajtjes së përzier në faqet e hapura përmes HTTPS. Më parë, nëse kishte komponentë në faqet e hapura përmes HTTPS që ishin ngarkuar pa kriptim (nëpërmjet protokollit http://), shfaqej një tregues i veçantë. Në të ardhmen, është vendosur që të bllokohet ngarkimi i burimeve të tilla si parazgjedhje. Kështu, faqet e hapura përmes "https://" do të garantohen të përmbajnë vetëm burime të shkarkuara përmes një kanali të sigurt komunikimi.
Vihet re se aktualisht më shumë se 90% e faqeve hapen nga përdoruesit e Chrome duke përdorur HTTPS. Prania e inserteve të ngarkuara pa enkriptim krijon kërcënime sigurie përmes modifikimit të përmbajtjes së pambrojtur nëse ka kontroll mbi kanalin e komunikimit (për shembull, kur lidheni përmes Wi-Fi të hapur). Treguesi i përmbajtjes së përzier rezultoi i paefektshëm dhe mashtrues për përdoruesit, pasi nuk ofron një vlerësim të qartë të sigurisë së faqes.
Aktualisht, llojet më të rrezikshme të përmbajtjeve të përziera, si skriptet dhe iframes, janë tashmë të bllokuara si parazgjedhje, por imazhet, skedarët audio dhe videot mund të shkarkohen ende përmes http://. Nëpërmjet mashtrimit të imazheve, një sulmues mund të zëvendësojë skedarët e gjurmimit të përdoruesve, të përpiqet të shfrytëzojë dobësitë në përpunuesit e imazhit ose të kryejë falsifikim duke zëvendësuar informacionin e dhënë në imazh.
Futja e bllokimit ndahet në disa faza. Chrome 79, i planifikuar për në 10 dhjetor, do të shfaqë një cilësim të ri që do t'ju lejojë të çaktivizoni bllokimin për sajte specifike. Ky cilësim do të zbatohet për përmbajtjen e përzier që është tashmë e bllokuar, si skriptet dhe iframe, dhe do të thirret përmes menysë që bie kur klikoni në simbolin e bllokimit, duke zëvendësuar treguesin e propozuar më parë për çaktivizimin e bllokimit.
Chrome 80, i cili pritet më 4 shkurt, do të përdorë një skemë të butë bllokimi për skedarët audio dhe video, duke nënkuptuar zëvendësimin automatik të lidhjeve http:// me https://, e cila do të ruajë funksionalitetin nëse burimi problematik është gjithashtu i aksesueshëm përmes HTTPS . Imazhet do të vazhdojnë të ngarkohen pa ndryshime, por nëse shkarkohen përmes http://, faqet https:// do të shfaqin një tregues lidhjeje të pasigurt për të gjithë faqen. Për të ndryshuar automatikisht në https ose për të bllokuar imazhet, zhvilluesit e faqeve do të jenë në gjendje të përdorin veçoritë e CSP-së për përmirësim-kërkesat e pasigurta dhe bllokimin e të gjitha përmbajtjeve të përziera. Chrome 81, i planifikuar për më 17 mars, do të korrigjojë automatikisht http:// në https:// për ngarkimet e përziera të imazheve.
Përveç kësaj, Google në lidhje me integrimin në një nga versionet e ardhshme të shfletuesit Chome të komponentit të ri të Kontrollit të Fjalëkalimit, më parë si . Integrimi do të çojë në shfaqjen në menaxherin e rregullt të fjalëkalimeve të Chrome të mjeteve për analizimin e besueshmërisë së fjalëkalimeve të përdorura nga përdoruesi. Kur përpiqeni të identifikoheni në ndonjë sajt, identifikimi dhe fjalëkalimi juaj do të kontrollohen në bazë të të dhënave të llogarive të komprometuara, me një paralajmërim të shfaqur nëse zbulohen probleme. Kontrolli kryhet kundër një baze të dhënash që mbulon më shumë se 4 miliardë llogari të komprometuara që u shfaqën në bazat e të dhënave të përdoruesve të zbuluar. Një paralajmërim do të shfaqet gjithashtu nëse përpiqeni të përdorni fjalëkalime të parëndësishme si "abc123" (nga Google 23% e amerikanëve përdorin fjalëkalime të ngjashme), ose kur përdorin të njëjtin fjalëkalim në shumë site.
Për të ruajtur konfidencialitetin, kur hyni në një API të jashtëm, transmetohen vetëm dy bajtët e parë të hash-it të hyrjes dhe fjalëkalimit (përdoret algoritmi i hashimit ). Hashi i plotë është i koduar me një çelës të krijuar në anën e përdoruesit. Hash-et origjinale në bazën e të dhënave të Google janë gjithashtu të enkriptuara dhe vetëm dy bajtët e parë të hash-it mbeten për indeksim. Verifikimi përfundimtar i hasheve që bien nën prefiksin e transmetuar me dy bajtë kryhet nga ana e përdoruesit duke përdorur teknologjinë kriptografike "“, në të cilën asnjëra palë nuk e di përmbajtjen e të dhënave që kontrollohen. Për të mbrojtur kundër përmbajtjes së një baze të dhënash të llogarive të komprometuara që përcaktohet me forcë brutale me një kërkesë për prefikse arbitrare, të dhënat e transmetuara kodohen në lidhje me një çelës të krijuar në bazë të një kombinimi të verifikuar të hyrjes dhe fjalëkalimit.
Burimi: opennet.ru