Google kuhusu kubadilisha mbinu ya kuchakata maudhui mchanganyiko kwenye kurasa zinazofunguliwa kupitia HTTPS. Hapo awali, ikiwa kulikuwa na vipengele kwenye kurasa zilizofunguliwa kupitia HTTPS ambazo zilipakiwa kutoka bila usimbaji fiche (kupitia http:// itifaki), kiashiria maalum kilionyeshwa. Katika siku zijazo, imeamua kuzuia upakiaji wa rasilimali hizo kwa default. Kwa hivyo, kurasa zinazofunguliwa kupitia "https://" zitahakikishiwa kuwa na rasilimali pekee zilizopakuliwa kupitia njia salama ya mawasiliano.
Imebainika kuwa kwa sasa zaidi ya 90% ya tovuti zinafunguliwa na watumiaji wa Chrome kwa kutumia HTTPS. Uwepo wa viingilio vilivyopakiwa bila usimbaji fiche hutengeneza vitisho vya usalama kupitia urekebishaji wa maudhui yasiyolindwa ikiwa kuna udhibiti wa kituo cha mawasiliano (kwa mfano, wakati wa kuunganisha kupitia Wi-Fi iliyo wazi). Kiashirio cha maudhui mchanganyiko kiligunduliwa kuwa hakifanyi kazi na kinapotosha mtumiaji, kwani hakitoi tathmini ya wazi ya usalama wa ukurasa.
Kwa sasa, aina hatari zaidi za maudhui mchanganyiko, kama vile hati na iframe, tayari zimezuiwa kwa chaguomsingi, lakini picha, faili za sauti na video bado zinaweza kupakuliwa kupitia http://. Kupitia udukuzi wa picha, mshambulizi anaweza kubadilisha Vidakuzi vya ufuatiliaji wa mtumiaji, kujaribu kutumia udhaifu katika vichakataji picha, au kughushi kwa kubadilisha maelezo yaliyotolewa kwenye picha.
Kuanzishwa kwa kuzuia imegawanywa katika hatua kadhaa. Chrome 79, iliyopangwa kufanyika tarehe 10 Desemba, itaangazia mpangilio mpya ambao utakuruhusu kuzima uzuiaji wa tovuti mahususi. Mpangilio huu utatumika kwa maudhui mchanganyiko ambayo tayari yamezuiwa, kama vile hati na iframe, na itaitwa kupitia menyu inayoshuka unapobofya alama ya kufunga, ikichukua nafasi ya kiashirio kilichopendekezwa hapo awali cha kulemaza uzuiaji.
Chrome 80, inayotarajiwa Februari 4, itatumia mfumo laini wa kuzuia faili za sauti na video, ikimaanisha uingizwaji wa kiotomatiki wa viungo vya http:// na https://, ambayo itahifadhi utendakazi ikiwa rasilimali yenye matatizo pia inapatikana kupitia HTTPS. . Picha zitaendelea kupakiwa bila mabadiliko, lakini zikipakuliwa kupitia http://, kurasa za https:// zitaonyesha kiashirio cha muunganisho usio salama kwa ukurasa mzima. Ili kubadilisha kiotomatiki hadi kwa https au kuzuia picha, wasanidi wa tovuti wataweza kutumia uboreshaji wa sifa za CSP-maombi-ya-kutokuwa na usalama na kuzuia-maudhui-ya-mchanganyiko-yote. Chrome 81, iliyoratibiwa Machi 17, itasahihisha kiotomatiki http:// kwa https:// kwa upakiaji wa picha mseto.
Kwa kuongeza, Google kuhusu kuunganishwa katika mojawapo ya matoleo yanayofuata ya kivinjari cha Chome cha kipengele kipya cha Ukaguzi wa Nenosiri, hapo awali kwa fomu . Ujumuishaji utasababisha kuonekana kwa kidhibiti cha nenosiri cha Chrome cha kawaida cha zana za kuchambua uaminifu wa nywila zinazotumiwa na mtumiaji. Unapojaribu kuingia kwenye tovuti yoyote, kuingia kwako na nenosiri lako litaangaliwa dhidi ya hifadhidata ya akaunti zilizoathiriwa, na onyo litaonyeshwa ikiwa matatizo yatagunduliwa. Ukaguzi unafanywa dhidi ya hifadhidata inayofunika zaidi ya akaunti bilioni 4 zilizoathiriwa ambazo zilionekana kwenye hifadhidata za watumiaji zilizovuja. Onyo pia litaonyeshwa ikiwa utajaribu kutumia manenosiri madogo kama vile "abc123" (na Google 23% ya Wamarekani hutumia nywila sawa), au wanapotumia nenosiri sawa kwenye tovuti nyingi.
Ili kudumisha usiri, wakati wa kupata API ya nje, ni baiti mbili za kwanza tu za hashi ya kuingia na nywila hupitishwa (algorithm ya hashing hutumiwa. ) Heshi kamili imesimbwa kwa njia fiche kwa ufunguo uliotolewa kwa upande wa mtumiaji. Heshi asili katika hifadhidata ya Google pia zimesimbwa kwa njia fiche na ni baiti mbili za kwanza tu za heshi ndizo zimesalia ili kuorodheshwa. Uthibitishaji wa mwisho wa heshi unaoanguka chini ya kiambishi awali cha baiti mbili unafanywa kwa upande wa mtumiaji kwa kutumia teknolojia ya kriptografia "", ambapo hakuna mhusika anayejua yaliyomo kwenye data inayoangaliwa. Ili kulinda dhidi ya yaliyomo kwenye hifadhidata ya akaunti zilizoathiriwa inayoamuliwa na nguvu ya kikatili na ombi la viambishi vya kiholela, data iliyopitishwa husimbwa kwa njia fiche kuhusiana na ufunguo unaozalishwa kwa misingi ya mchanganyiko uliothibitishwa wa kuingia na nenosiri.
Chanzo: opennet.ru