Google
Det noteras att för närvarande öppnas mer än 90 % av webbplatserna av Chrome-användare som använder HTTPS. Förekomsten av inlägg som laddas utan kryptering skapar säkerhetshot genom modifiering av oskyddat innehåll om det finns kontroll över kommunikationskanalen (till exempel vid anslutning via öppen Wi-Fi). Indikatorn för blandat innehåll visade sig vara ineffektiv och vilseledande för användaren, eftersom den inte ger en tydlig bedömning av sidans säkerhet.
För närvarande är de farligaste typerna av blandat innehåll, som skript och iframes, redan blockerade som standard, men bilder, ljudfiler och videor kan fortfarande laddas ner via http://. Genom bildspoofing kan en angripare ersätta användarspårningscookies, försöka utnyttja sårbarheter i bildprocessorer eller begå förfalskning genom att ersätta informationen i bilden.
Införandet av blockeringen är uppdelad i flera steg. Chrome 79, planerad till den 10 december, kommer att ha en ny inställning som gör att du kan inaktivera blockering för specifika webbplatser. Den här inställningen kommer att tillämpas på blandat innehåll som redan är blockerat, såsom skript och iframes, och kommer att anropas via menyn som rullar ner när du klickar på låssymbolen, och ersätter den tidigare föreslagna indikatorn för att inaktivera blockering.
Chrome 80, som väntas den 4 februari, kommer att använda ett mjukt blockeringsschema för ljud- och videofiler, vilket innebär att http://-länkar automatiskt ersätts med https://, vilket kommer att bevara funktionaliteten om den problematiska resursen också är tillgänglig via HTTPS . Bilder kommer att fortsätta att laddas utan ändringar, men om de laddas ner via http://, kommer https://-sidorna att visa en osäker anslutningsindikator för hela sidan. För att automatiskt ändra till https eller blockera bilder kommer webbplatsutvecklare att kunna använda CSP-egenskaperna upgrade-insecure-requests och block-all-mixed-content. Chrome 81, planerad till 17 mars, kommer automatiskt att korrigera http:// till https:// för blandade bilduppladdningar.
Dessutom Google
För att upprätthålla konfidentialitet, vid åtkomst till ett externt API, överförs endast de första två byten av hashen för inloggning och lösenord (hashalgoritmen används
Källa: opennet.ru