Google ngeunaan ngarobah pendekatan kana ngolah eusi dicampur dina kaca dibuka via HTTPS. Saméméhna, lamun aya komponén dina kaca dibuka via HTTPS nu dimuat tina tanpa enkripsi (via protokol http: //), hiji indikator husus dipintonkeun. Dina mangsa nu bakal datang, éta geus mutuskeun pikeun meungpeuk loading sumberdaya misalna sacara standar. Ku kituna, kaca dibuka ngaliwatan "https: //" bakal dijamin ngan ngandung sumberdaya diundeur via saluran komunikasi aman.
Catet yén ayeuna langkung ti 90% situs dibuka ku pangguna Chrome nganggo HTTPS. Ayana sisipan anu dimuat tanpa énkripsi nyiptakeun ancaman kaamanan ngaliwatan modifikasi eusi anu teu dijagi upami aya kontrol kana saluran komunikasi (contona, nalika nyambungkeun via Wi-Fi kabuka). Indikator eusi campuran ieu kapanggih teu epektip tur nyasabkeun ka pamaké, sabab teu nyadiakeun assessment jelas ngeunaan kaamanan kaca.
Ayeuna, jinis eusi campuran anu paling bahaya, sapertos skrip sareng iframe, parantos diblokir sacara standar, tapi gambar, file audio sareng pidéo masih tiasa diunduh via http: //. Ngaliwatan spoofing gambar, panyerang tiasa ngagentos Cookies anu nyukcruk pangguna, nyobian ngamanfaatkeun kerentanan dina prosesor gambar, atanapi ngalakukeun pemalsuan ku cara ngagentos inpormasi anu disayogikeun dina gambar.
Bubuka blocking dibagi kana sababaraha tahap. Chrome 79, dijadwalkeun pikeun 10 Désémber, bakal nampilkeun setélan énggal anu bakal ngamungkinkeun anjeun nganonaktipkeun blokiran pikeun situs khusus. Setelan ieu bakal diterapkeun kana eusi campuran nu geus dipeungpeuk, kayaning Aksara jeung iframes, sarta bakal disebut nepi ngaliwatan menu nu turun ka handap mun anjeun klik dina simbol konci, ngagantikeun indikator saméméhna diusulkeun pikeun nganonaktipkeun blocking.
Chrome 80, anu diperkirakeun dina 4 Pébruari, bakal ngagunakeun skéma meungpeuk lemes pikeun file audio sareng pidéo, nunjukkeun gaganti otomatis tina tautan http: // sareng https: //, anu bakal ngawétkeun fungsionalitas upami sumber masalah ogé tiasa diaksés via HTTPS. . Gambar bakal terus dimuat tanpa parobahan, tapi lamun diundeur via http: //, kaca https:// bakal nembongkeun hiji indikator sambungan teu aman pikeun sakabéh kaca. Pikeun otomatis ngarobah kana HTTPS atawa gambar meungpeuk, pamekar situs bakal tiasa nganggo sipat CSP pamutahiran-teu aman-requests jeung blok-sadaya-campuran-eusi. Chrome 81, dijadwalkeun pikeun 17 Maret, bakal otomatis ngabenerkeun http: // ka HTTPS: // pikeun unggah gambar dicampur.
Sajaba ti éta, Google ngeunaan integrasi kana salah sahiji kaluaran salajengna tina browser Chome tina komponén Sandi Checkup anyar, saméméhna dina wujud . Integrasi bakal ngakibatkeun penampilan dina manajer sandi Chrome biasa alat pikeun nganalisis reliabiliti kecap akses dipaké ku pamaké. Nalika anjeun nyobian log in kana situs mana waé, login sareng kecap akses anjeun bakal dipariksa kana pangkalan data akun anu dikompromi, kalayan peringatan ditampilkeun upami aya masalah. Pamariksaan dilaksanakeun ngalawan pangkalan data anu nyertakeun langkung ti 4 milyar akun anu dikompromi anu muncul dina pangkalan data pangguna anu bocor. Peringatan ogé bakal ditingalikeun upami anjeun nyobian nganggo kecap konci anu teu penting sapertos "abc123" (ku Google 23% urang Amerika nganggo kecap akses anu sami), atanapi nalika nganggo kecap konci anu sami dina sababaraha situs.
Pikeun ngajaga karusiahan, nalika ngaksés API éksternal, ngan ukur dua bait munggaran tina hash login sareng kecap akses anu dikirimkeun (algoritma hashing dianggo. ). Hash pinuh énkripsi ku konci anu dihasilkeun di sisi pangguna. Hashes aslina dina database Google ogé énkripsi tambahan sarta ngan dua bait mimiti hash nu ditinggalkeun pikeun indexing. Verifikasi ahir hashes anu aya dina awalan dua-bait anu dikirimkeun dilaksanakeun di sisi pangguna nganggo téknologi kriptografi "", anu henteu aya pihak anu terang kana eusi data anu dipariksa. Pikeun ngajagaan tina eusi database akun anu dikompromi anu ditangtukeun ku gaya brute kalayan pamenta awalan sawenang, data anu dikirimkeun énkripsi dina sambungan sareng konci anu didamel dumasar kana kombinasi login sareng kecap akses anu diverifikasi.
sumber: opennet.ru