Гоогле о промени приступа обради мешовитог садржаја на страницама отвореним преко ХТТПС-а. Раније, ако су на страницама отвореним преко ХТТПС-а постојале компоненте које су учитане без шифровања (преко хттп:// протокола), био је приказан посебан индикатор. У будућности је одлучено да се подразумевано блокира учитавање таквих ресурса. Стога ће странице отворене преко „хттпс://“ гарантовано садржати само ресурсе преузете преко безбедног комуникационог канала.
Примећује се да тренутно више од 90% сајтова отварају корисници Цхроме-а користећи ХТТПС. Присуство уметака учитаних без енкрипције ствара безбедносне претње кроз модификацију незаштићеног садржаја ако постоји контрола над комуникационим каналом (на пример, када се повезујете преко отвореног Ви-Фи-ја). Показало се да је индикатор мешовитог садржаја неефикасан и обмањујући корисника, јер не даје јасну процену безбедности странице.
Тренутно, најопаснији типови мешовитог садржаја, као што су скрипте и ифрамеови, већ су подразумевано блокирани, али слике, аудио датотеке и видео снимци и даље могу да се преузимају преко хттп://. Путем лажирања слика, нападач може да замени колачиће за праћење корисника, покуша да искористи рањивости у процесорима слика или изврши фалсификат заменом информација датих на слици.
Увођење блокаде је подељено у неколико фаза. Цхроме 79, предвиђен за 10. децембар, имаће ново подешавање које ће вам омогућити да онемогућите блокирање за одређене сајтове. Ово подешавање ће се применити на мешовити садржај који је већ блокиран, као што су скрипте и ифрамеови, и биће позвано кроз мени који се спушта када кликнете на симбол катанца, замењујући претходно предложени индикатор за онемогућавање блокирања.
Цхроме 80, који се очекује 4. фебруара, користиће шему меког блокирања аудио и видео датотека, што подразумева аутоматску замену хттп:// линкова са хттпс://, што ће сачувати функционалност ако је проблематични ресурс доступан и преко ХТТПС-а . Слике ће наставити да се учитавају без промена, али ако се преузму преко хттп://, хттпс:// странице ће приказати индикатор несигурне везе за целу страницу. Да би аутоматски прешли на хттпс или блокирали слике, програмери сајтова ће моћи да користе ЦСП својства упграде-инсецуре-рекуестс и блоцк-алл-микед-цонтент. Цхроме 81, заказан за 17. март, ће аутоматски исправити хттп:// у хттпс:// за мешовито отпремање слика.
Поред тога, Гоогле о претходној интеграцији нове компоненте за проверу лозинке у једно од наредних издања претраживача Цхоме у облику . Интеграција ће довести до појаве у редовном Цхроме менаџеру лозинки алата за анализу поузданости лозинки које користи корисник. Када покушате да се пријавите на било коју локацију, ваша пријава и лозинка ће бити проверени у односу на базу података компромитованих налога, са упозорењем ако се открију проблеми. Провера се врши према бази података која покрива више од 4 милијарде компромитованих налога који су се појавили у базама података корисника који су процурили. Упозорење ће се такође приказати ако покушате да користите тривијалне лозинке као што је „абц123“ (од Гоогле 23% Американаца користи сличне лозинке) или када користе исту лозинку на више сајтова.
Да би се одржала поверљивост, када се приступа спољном АПИ-ју, преносе се само прва два бајта хеша корисничког имена и лозинке (користи се алгоритам хеширања ). Потпуни хеш је шифрован кључем генерисаним на страни корисника. Оригинални хешови у Гугл бази су такође додатно шифровани и само прва два бајта хеша остају за индексирање. Коначна верификација хешева који потпадају под префикс од два бајта се врши на страни корисника помоћу криптографске технологије ““, у којем ниједна страна не зна садржај података који се провјеравају. У циљу заштите од тога да се садржај базе података компромитованих налога утврђује грубом силом са захтевом за произвољним префиксима, пренети подаци се шифрују у вези са кључем генерисаним на основу проверене комбинације логин-а и лозинке.
Извор: опеннет.ру