Google
Imebainika kuwa kwa sasa zaidi ya 90% ya tovuti zinafunguliwa na watumiaji wa Chrome kwa kutumia HTTPS. Uwepo wa viingilio vilivyopakiwa bila usimbaji fiche hutengeneza vitisho vya usalama kupitia urekebishaji wa maudhui yasiyolindwa ikiwa kuna udhibiti wa kituo cha mawasiliano (kwa mfano, wakati wa kuunganisha kupitia Wi-Fi iliyo wazi). Kiashirio cha maudhui mchanganyiko kiligunduliwa kuwa hakifanyi kazi na kinapotosha mtumiaji, kwani hakitoi tathmini ya wazi ya usalama wa ukurasa.
Kwa sasa, aina hatari zaidi za maudhui mchanganyiko, kama vile hati na iframe, tayari zimezuiwa kwa chaguomsingi, lakini picha, faili za sauti na video bado zinaweza kupakuliwa kupitia http://. Kupitia udukuzi wa picha, mshambulizi anaweza kubadilisha Vidakuzi vya ufuatiliaji wa mtumiaji, kujaribu kutumia udhaifu katika vichakataji picha, au kughushi kwa kubadilisha maelezo yaliyotolewa kwenye picha.
Kuanzishwa kwa kuzuia imegawanywa katika hatua kadhaa. Chrome 79, iliyopangwa kufanyika tarehe 10 Desemba, itaangazia mpangilio mpya ambao utakuruhusu kuzima uzuiaji wa tovuti mahususi. Mpangilio huu utatumika kwa maudhui mchanganyiko ambayo tayari yamezuiwa, kama vile hati na iframe, na itaitwa kupitia menyu inayoshuka unapobofya alama ya kufunga, ikichukua nafasi ya kiashirio kilichopendekezwa hapo awali cha kulemaza uzuiaji.
Chrome 80, inayotarajiwa Februari 4, itatumia mfumo laini wa kuzuia faili za sauti na video, ikimaanisha uingizwaji wa kiotomatiki wa viungo vya http:// na https://, ambayo itahifadhi utendakazi ikiwa rasilimali yenye matatizo pia inapatikana kupitia HTTPS. . Picha zitaendelea kupakiwa bila mabadiliko, lakini zikipakuliwa kupitia http://, kurasa za https:// zitaonyesha kiashirio cha muunganisho usio salama kwa ukurasa mzima. Ili kubadilisha kiotomatiki hadi kwa https au kuzuia picha, wasanidi wa tovuti wataweza kutumia uboreshaji wa sifa za CSP-maombi-ya-kutokuwa na usalama na kuzuia-maudhui-ya-mchanganyiko-yote. Chrome 81, iliyoratibiwa Machi 17, itasahihisha kiotomatiki http:// kwa https:// kwa upakiaji wa picha mseto.
Kwa kuongeza, Google
Ili kudumisha usiri, wakati wa kupata API ya nje, ni baiti mbili za kwanza tu za hashi ya kuingia na nywila hupitishwa (algorithm ya hashing hutumiwa.
Chanzo: opennet.ru