Google
Catet yén ayeuna langkung ti 90% situs dibuka ku pangguna Chrome nganggo HTTPS. Ayana sisipan anu dimuat tanpa énkripsi nyiptakeun ancaman kaamanan ngaliwatan modifikasi eusi anu teu dijagi upami aya kontrol kana saluran komunikasi (contona, nalika nyambungkeun via Wi-Fi kabuka). Indikator eusi campuran ieu kapanggih teu epektip tur nyasabkeun ka pamaké, sabab teu nyadiakeun assessment jelas ngeunaan kaamanan kaca.
Ayeuna, jinis eusi campuran anu paling bahaya, sapertos skrip sareng iframe, parantos diblokir sacara standar, tapi gambar, file audio sareng pidéo masih tiasa diunduh via http: //. Ngaliwatan spoofing gambar, panyerang tiasa ngagentos Cookies anu nyukcruk pangguna, nyobian ngamanfaatkeun kerentanan dina prosesor gambar, atanapi ngalakukeun pemalsuan ku cara ngagentos inpormasi anu disayogikeun dina gambar.
Bubuka blocking dibagi kana sababaraha tahap. Chrome 79, dijadwalkeun pikeun 10 Désémber, bakal nampilkeun setélan énggal anu bakal ngamungkinkeun anjeun nganonaktipkeun blokiran pikeun situs khusus. Setelan ieu bakal diterapkeun kana eusi campuran nu geus dipeungpeuk, kayaning Aksara jeung iframes, sarta bakal disebut nepi ngaliwatan menu nu turun ka handap mun anjeun klik dina simbol konci, ngagantikeun indikator saméméhna diusulkeun pikeun nganonaktipkeun blocking.
Chrome 80, anu diperkirakeun dina 4 Pébruari, bakal ngagunakeun skéma meungpeuk lemes pikeun file audio sareng pidéo, nunjukkeun gaganti otomatis tina tautan http: // sareng https: //, anu bakal ngawétkeun fungsionalitas upami sumber masalah ogé tiasa diaksés via HTTPS. . Gambar bakal terus dimuat tanpa parobahan, tapi lamun diundeur via http: //, kaca https:// bakal nembongkeun hiji indikator sambungan teu aman pikeun sakabéh kaca. Pikeun otomatis ngarobah kana HTTPS atawa gambar meungpeuk, pamekar situs bakal tiasa nganggo sipat CSP pamutahiran-teu aman-requests jeung blok-sadaya-campuran-eusi. Chrome 81, dijadwalkeun pikeun 17 Maret, bakal otomatis ngabenerkeun http: // ka HTTPS: // pikeun unggah gambar dicampur.
Sajaba ti éta, Google
Pikeun ngajaga karusiahan, nalika ngaksés API éksternal, ngan ukur dua bait munggaran tina hash login sareng kecap akses anu dikirimkeun (algoritma hashing dianggo.
sumber: opennet.ru