Google HTTPS ద్వారా తెరిచిన పేజీలలో మిశ్రమ కంటెంట్ని ప్రాసెస్ చేసే విధానాన్ని మార్చడం గురించి. గతంలో, గుప్తీకరణ లేకుండా (http:// ప్రోటోకాల్ ద్వారా) లోడ్ చేయబడిన HTTPS ద్వారా తెరవబడిన పేజీలలో భాగాలు ఉంటే, ఒక ప్రత్యేక సూచిక ప్రదర్శించబడుతుంది. భవిష్యత్తులో, డిఫాల్ట్గా అటువంటి వనరులను లోడ్ చేయడాన్ని నిరోధించాలని నిర్ణయించబడింది. అందువల్ల, “https://” ద్వారా తెరవబడిన పేజీలు సురక్షిత కమ్యూనికేషన్ ఛానెల్ ద్వారా డౌన్లోడ్ చేయబడిన వనరులను మాత్రమే కలిగి ఉంటాయని హామీ ఇవ్వబడుతుంది.
ప్రస్తుతం 90% కంటే ఎక్కువ సైట్లు HTTPSని ఉపయోగించి Chrome వినియోగదారులచే తెరవబడుతున్నాయని గుర్తించబడింది. కమ్యూనికేషన్ ఛానెల్పై నియంత్రణ ఉంటే (ఉదాహరణకు, ఓపెన్ Wi-Fi ద్వారా కనెక్ట్ చేసినప్పుడు) ఎన్క్రిప్షన్ లేకుండా లోడ్ చేయబడిన ఇన్సర్ట్ల ఉనికి అసురక్షిత కంటెంట్ని సవరించడం ద్వారా భద్రతా బెదిరింపులను సృష్టిస్తుంది. మిశ్రమ కంటెంట్ సూచిక పనికిరానిదిగా మరియు వినియోగదారుని తప్పుదారి పట్టించేదిగా గుర్తించబడింది, ఎందుకంటే ఇది పేజీ యొక్క భద్రతపై స్పష్టమైన అంచనాను అందించదు.
ప్రస్తుతం, స్క్రిప్ట్లు మరియు ఐఫ్రేమ్ల వంటి అత్యంత ప్రమాదకరమైన రకాల మిశ్రమ కంటెంట్లు డిఫాల్ట్గా బ్లాక్ చేయబడ్డాయి, అయితే చిత్రాలు, ఆడియో ఫైల్లు మరియు వీడియోలు ఇప్పటికీ http:// ద్వారా డౌన్లోడ్ చేయబడతాయి. ఇమేజ్ స్పూఫింగ్ ద్వారా, దాడి చేసే వ్యక్తి వినియోగదారు ట్రాకింగ్ కుక్కీలను భర్తీ చేయవచ్చు, ఇమేజ్ ప్రాసెసర్లలోని దుర్బలత్వాలను ఉపయోగించుకోవడానికి ప్రయత్నించవచ్చు లేదా చిత్రంలో అందించిన సమాచారాన్ని భర్తీ చేయడం ద్వారా ఫోర్జరీకి పాల్పడవచ్చు.
నిరోధించడాన్ని పరిచయం చేయడం అనేక దశలుగా విభజించబడింది. Chrome 79, డిసెంబర్ 10వ తేదీన, నిర్దిష్ట సైట్ల కోసం నిరోధించడాన్ని నిలిపివేయడానికి మిమ్మల్ని అనుమతించే కొత్త సెట్టింగ్ని కలిగి ఉంటుంది. ఈ సెట్టింగ్ ఇప్పటికే బ్లాక్ చేయబడిన స్క్రిప్ట్లు మరియు iframes వంటి మిశ్రమ కంటెంట్కు వర్తించబడుతుంది మరియు మీరు బ్లాక్ని డిసేబుల్ చేయడానికి గతంలో ప్రతిపాదించిన సూచిక స్థానంలో లాక్ సింబల్పై క్లిక్ చేసినప్పుడు పడిపోయే మెను ద్వారా కాల్ చేయబడుతుంది.
Chrome 80, ఫిబ్రవరి 4న, ఆడియో మరియు వీడియో ఫైల్ల కోసం సాఫ్ట్ బ్లాకింగ్ స్కీమ్ని ఉపయోగిస్తుంది, http:// లింక్లను https://తో స్వయంచాలకంగా భర్తీ చేస్తుంది, ఇది సమస్యాత్మక వనరును HTTPS ద్వారా కూడా యాక్సెస్ చేయగలిగితే కార్యాచరణను సంరక్షిస్తుంది. . చిత్రాలు మార్పులు లేకుండా లోడ్ అవుతూనే ఉంటాయి, అయితే http:// ద్వారా డౌన్లోడ్ చేసినట్లయితే, https:// పేజీలు మొత్తం పేజీకి అసురక్షిత కనెక్షన్ సూచికను ప్రదర్శిస్తాయి. స్వయంచాలకంగా httpsకి మార్చడానికి లేదా చిత్రాలను బ్లాక్ చేయడానికి, సైట్ డెవలపర్లు CSP లక్షణాల అప్గ్రేడ్-అసురక్షిత-అభ్యర్థనలు మరియు బ్లాక్-ఆల్-మిక్స్డ్-కంటెంట్లను ఉపయోగించగలరు. మార్చి 81న షెడ్యూల్ చేయబడిన Chrome 17, మిక్స్డ్ ఇమేజ్ అప్లోడ్ల కోసం http:// నుండి https://కి స్వయంచాలకంగా సరిచేస్తుంది.
అదనంగా, Google కొత్త పాస్వర్డ్ చెకప్ కాంపోనెంట్ యొక్క Chome బ్రౌజర్ యొక్క తదుపరి విడుదలలలో ఒకదానిలో ఏకీకరణ గురించి, గతంలో వంటి . ఇంటిగ్రేషన్ వినియోగదారు ఉపయోగించే పాస్వర్డ్ల విశ్వసనీయతను విశ్లేషించడానికి సాధనాల యొక్క సాధారణ Chrome పాస్వర్డ్ మేనేజర్లో కనిపించడానికి దారి తీస్తుంది. మీరు ఏదైనా సైట్కి లాగిన్ చేయడానికి ప్రయత్నించినప్పుడు, మీ లాగిన్ మరియు పాస్వర్డ్ రాజీపడిన ఖాతాల డేటాబేస్తో తనిఖీ చేయబడుతుంది, సమస్యలు గుర్తించబడితే హెచ్చరిక ప్రదర్శించబడుతుంది. లీక్ అయిన యూజర్ డేటాబేస్లలో కనిపించిన 4 బిలియన్ కంటే ఎక్కువ రాజీపడిన ఖాతాలను కవర్ చేసే డేటాబేస్కు వ్యతిరేకంగా తనిఖీ జరుగుతుంది. మీరు "abc123" వంటి అల్పమైన పాస్వర్డ్లను ఉపయోగించడానికి ప్రయత్నిస్తే హెచ్చరిక కూడా ప్రదర్శించబడుతుంది Google 23% అమెరికన్లు ఒకే విధమైన పాస్వర్డ్లను ఉపయోగిస్తున్నారు), లేదా బహుళ సైట్లలో ఒకే పాస్వర్డ్ను ఉపయోగిస్తున్నప్పుడు.
గోప్యతను నిర్వహించడానికి, బాహ్య APIని యాక్సెస్ చేస్తున్నప్పుడు, లాగిన్ మరియు పాస్వర్డ్ యొక్క హాష్ యొక్క మొదటి రెండు బైట్లు మాత్రమే ప్రసారం చేయబడతాయి (హాషింగ్ అల్గోరిథం ఉపయోగించబడుతుంది ) పూర్తి హాష్ వినియోగదారు వైపు ఉత్పత్తి చేయబడిన కీతో గుప్తీకరించబడింది. Google డేటాబేస్లోని అసలు హ్యాష్లు కూడా అదనంగా గుప్తీకరించబడ్డాయి మరియు ఇండెక్సింగ్ కోసం హాష్లోని మొదటి రెండు బైట్లు మాత్రమే మిగిలి ఉన్నాయి. ప్రసారం చేయబడిన రెండు-బైట్ ఉపసర్గ కింద వచ్చే హాష్ల తుది ధృవీకరణ క్రిప్టోగ్రాఫిక్ టెక్నాలజీని ఉపయోగించి వినియోగదారు వైపున నిర్వహించబడుతుంది "“, దీనిలో తనిఖీ చేయబడిన డేటాలోని కంటెంట్లు ఏ పార్టీకి తెలియవు. ఏకపక్ష ఉపసర్గల కోసం అభ్యర్థనతో బ్రూట్ ఫోర్స్ ద్వారా గుర్తించబడే రాజీ ఖాతాల డేటాబేస్ యొక్క కంటెంట్ల నుండి రక్షించడానికి, బదిలీ చేయబడిన డేటా లాగిన్ మరియు పాస్వర్డ్ యొక్క ధృవీకరించబడిన కలయిక ఆధారంగా రూపొందించబడిన కీకి సంబంధించి ఎన్క్రిప్ట్ చేయబడుతుంది.
మూలం: opennet.ru