கூகிள் HTTPS மூலம் திறக்கப்பட்ட பக்கங்களில் கலப்பு உள்ளடக்கத்தைச் செயலாக்குவதற்கான அணுகுமுறையை மாற்றுவது பற்றி. முன்னதாக, HTTPS வழியாக திறக்கப்பட்ட பக்கங்களில் உள்ள கூறுகள் குறியாக்கம் இல்லாமல் (http:// நெறிமுறை வழியாக) ஏற்றப்பட்டிருந்தால், ஒரு சிறப்பு காட்டி காட்டப்படும். எதிர்காலத்தில், முன்னிருப்பாக அத்தகைய ஆதாரங்களை ஏற்றுவதைத் தடுக்க முடிவு செய்யப்பட்டுள்ளது. எனவே, “https://” மூலம் திறக்கப்படும் பக்கங்களில் பாதுகாப்பான தகவல் தொடர்பு சேனல் மூலம் பதிவிறக்கம் செய்யப்பட்ட ஆதாரங்கள் மட்டுமே இருக்கும் என்று உத்தரவாதம் அளிக்கப்படும்.
தற்போது 90% க்கும் அதிகமான தளங்கள் HTTPS ஐப் பயன்படுத்தி Chrome பயனர்களால் திறக்கப்படுகின்றன என்பது குறிப்பிடத்தக்கது. குறியாக்கம் இல்லாமல் ஏற்றப்பட்ட செருகல்களின் இருப்பு, தகவல்தொடர்பு சேனலில் கட்டுப்பாடு இருந்தால் (உதாரணமாக, திறந்த வைஃபை வழியாக இணைக்கும் போது) பாதுகாப்பற்ற உள்ளடக்கத்தை மாற்றுவதன் மூலம் பாதுகாப்பு அச்சுறுத்தல்களை உருவாக்குகிறது. பக்கத்தின் பாதுகாப்பு குறித்த தெளிவான மதிப்பீட்டை வழங்காததால், கலப்பு உள்ளடக்கக் காட்டி பயனற்றதாகவும் பயனரை தவறாக வழிநடத்துவதாகவும் கண்டறியப்பட்டது.
தற்போது, ஸ்கிரிப்ட்கள் மற்றும் இஃப்ரேம்கள் போன்ற மிகவும் ஆபத்தான கலப்பு உள்ளடக்கங்கள் ஏற்கனவே இயல்பாகத் தடுக்கப்பட்டுள்ளன, ஆனால் படங்கள், ஆடியோ கோப்புகள் மற்றும் வீடியோக்கள் இன்னும் http:// வழியாக பதிவிறக்கம் செய்யப்படலாம். படத்தை ஏமாற்றுவதன் மூலம், தாக்குபவர் பயனர் கண்காணிப்பு குக்கீகளை மாற்றலாம், படச் செயலிகளில் உள்ள பாதிப்புகளைப் பயன்படுத்த முயற்சி செய்யலாம் அல்லது படத்தில் வழங்கப்பட்ட தகவலை மாற்றுவதன் மூலம் மோசடி செய்யலாம்.
தடுப்பு அறிமுகம் பல நிலைகளாக பிரிக்கப்பட்டுள்ளது. Chrome 79, டிசம்பர் 10 ஆம் தேதி திட்டமிடப்பட்டுள்ளது, குறிப்பிட்ட தளங்களுக்கான தடுப்பை முடக்க உங்களை அனுமதிக்கும் புதிய அமைப்பைக் கொண்டிருக்கும். ஸ்கிரிப்டுகள் மற்றும் ஐஃப்ரேம்கள் போன்ற ஏற்கனவே தடுக்கப்பட்ட கலவையான உள்ளடக்கத்திற்கு இந்த அமைப்பு பயன்படுத்தப்படும், மேலும் தடுப்பை முடக்குவதற்கு முன்னர் முன்மொழியப்பட்ட காட்டிக்குப் பதிலாக, பூட்டு சின்னத்தில் கிளிக் செய்யும் போது கீழே தோன்றும் மெனு மூலம் அழைக்கப்படும்.
பிப்ரவரி 80 ஆம் தேதி எதிர்பார்க்கப்படும் Chrome 4, ஆடியோ மற்றும் வீடியோ கோப்புகளுக்கான மென்மையான தடுப்புத் திட்டத்தைப் பயன்படுத்தும், இது http:// இணைப்புகளை https:// உடன் தானாக மாற்றுவதைக் குறிக்கிறது, இது சிக்கல் நிறைந்த ஆதாரத்தை HTTPS வழியாக அணுகினால் செயல்பாட்டைப் பாதுகாக்கும். . படங்கள் மாற்றங்கள் இல்லாமல் தொடர்ந்து ஏற்றப்படும், ஆனால் http:// வழியாகப் பதிவிறக்கினால், https:// பக்கங்கள் முழுப் பக்கத்திற்கும் பாதுகாப்பற்ற இணைப்புக் குறிகாட்டியைக் காண்பிக்கும். தானாகவே https க்கு மாற அல்லது படங்களைத் தடுக்க, தள டெவலப்பர்கள் CSP பண்புகளை மேம்படுத்துதல்-பாதுகாப்பான கோரிக்கைகள் மற்றும் பிளாக்-அனைத்து-கலப்பு-உள்ளடக்கத்தைப் பயன்படுத்த முடியும். Chrome 81, மார்ச் 17 அன்று திட்டமிடப்பட்டது, கலப்பு படப் பதிவேற்றங்களுக்கு http:// முதல் https:// வரை தானாகச் சரி செய்யும்.
கூடுதலாக, கூகுள் புதிய கடவுச்சொல் சரிபார்ப்பு கூறுகளின் Chome உலாவியின் அடுத்த வெளியீடுகளில் ஒன்றில் ஒருங்கிணைப்பு பற்றி, முன்பு வடிவத்தில் . பயனர் பயன்படுத்தும் கடவுச்சொற்களின் நம்பகத்தன்மையை பகுப்பாய்வு செய்வதற்கான கருவிகளின் வழக்கமான Chrome கடவுச்சொல் நிர்வாகியில் ஒருங்கிணைப்பு தோற்றமளிக்கும். நீங்கள் எந்த தளத்தில் உள்நுழைய முயற்சிக்கும் போது, உங்கள் உள்நுழைவு மற்றும் கடவுச்சொல், சமரசம் செய்யப்பட்ட கணக்குகளின் தரவுத்தளத்தில் சரிபார்க்கப்படும், சிக்கல்கள் கண்டறியப்பட்டால் எச்சரிக்கை காட்டப்படும். கசிந்த பயனர் தரவுத்தளங்களில் தோன்றிய 4 பில்லியனுக்கும் அதிகமான சமரசம் செய்யப்பட்ட கணக்குகளை உள்ளடக்கிய தரவுத்தளத்திற்கு எதிராக சோதனை மேற்கொள்ளப்படுகிறது. "abc123" போன்ற அற்பமான கடவுச்சொற்களைப் பயன்படுத்த முயற்சித்தால் எச்சரிக்கையும் காட்டப்படும். கூகுள் 23% அமெரிக்கர்கள் இதே போன்ற கடவுச்சொற்களைப் பயன்படுத்துகின்றனர்), அல்லது ஒரே கடவுச்சொல்லை பல தளங்களில் பயன்படுத்தும் போது.
இரகசியத்தன்மையை பராமரிக்க, வெளிப்புற API ஐ அணுகும்போது, உள்நுழைவு மற்றும் கடவுச்சொல்லின் ஹாஷின் முதல் இரண்டு பைட்டுகள் மட்டுமே அனுப்பப்படும் (ஹாஷிங் அல்காரிதம் பயன்படுத்தப்படுகிறது. ) பயனரின் பக்கத்தில் உருவாக்கப்பட்ட விசையுடன் முழு ஹாஷ் குறியாக்கம் செய்யப்படுகிறது. கூகுள் தரவுத்தளத்தில் உள்ள அசல் ஹாஷ்களும் கூடுதலாக என்க்ரிப்ட் செய்யப்பட்டுள்ளன, மேலும் ஹாஷின் முதல் இரண்டு பைட்டுகள் மட்டுமே அட்டவணைப்படுத்தலுக்கு மீதமுள்ளன. பரிமாற்றப்பட்ட இரண்டு-பைட் முன்னொட்டின் கீழ் வரும் ஹாஷ்களின் இறுதி சரிபார்ப்பு கிரிப்டோகிராஃபிக் தொழில்நுட்பத்தைப் பயன்படுத்தி பயனரின் பக்கத்தில் மேற்கொள்ளப்படுகிறது "“, இதில் சரிபார்க்கப்படும் தரவின் உள்ளடக்கம் எந்த தரப்பினருக்கும் தெரியாது. தன்னிச்சையான முன்னொட்டுகளுக்கான கோரிக்கையுடன் முரட்டு சக்தியால் தீர்மானிக்கப்படும் சமரசம் செய்யப்பட்ட கணக்குகளின் தரவுத்தளத்தின் உள்ளடக்கங்களிலிருந்து பாதுகாக்க, உள்நுழைவு மற்றும் கடவுச்சொல் ஆகியவற்றின் சரிபார்க்கப்பட்ட கலவையின் அடிப்படையில் உருவாக்கப்பட்ட விசையுடன் தொடர்புபடுத்தப்பட்ட தரவு குறியாக்கம் செய்யப்படுகிறது.
ஆதாரம்: opennet.ru