Google
มีข้อสังเกตว่าในปัจจุบันมากกว่า 90% ของไซต์เปิดโดยผู้ใช้ Chrome โดยใช้ HTTPS การมีอยู่ของส่วนแทรกที่โหลดโดยไม่มีการเข้ารหัสจะสร้างภัยคุกคามด้านความปลอดภัยผ่านการปรับเปลี่ยนเนื้อหาที่ไม่ได้รับการป้องกัน หากมีการควบคุมช่องทางการสื่อสาร (เช่น เมื่อเชื่อมต่อผ่าน Wi-Fi แบบเปิด) พบว่าตัวบ่งชี้เนื้อหาผสมไม่ได้ผลและทำให้ผู้ใช้เข้าใจผิด เนื่องจากไม่ได้ให้การประเมินความปลอดภัยของเพจอย่างชัดเจน
ปัจจุบัน เนื้อหาผสมประเภทที่อันตรายที่สุด เช่น สคริปต์และ iframe ได้ถูกบล็อกโดยค่าเริ่มต้นแล้ว แต่รูปภาพ ไฟล์เสียง และวิดีโอยังคงสามารถดาวน์โหลดได้ผ่าน http:// ด้วยการปลอมแปลงรูปภาพ ผู้โจมตีสามารถใช้แทนคุกกี้ติดตามผู้ใช้ พยายามหาช่องโหว่ในโปรเซสเซอร์รูปภาพ หรือกระทำการปลอมแปลงโดยแทนที่ข้อมูลที่ให้ไว้ในรูปภาพ
การแนะนำการบล็อกแบ่งออกเป็นหลายขั้นตอน Chrome 79 ซึ่งกำหนดไว้ในวันที่ 10 ธันวาคมจะมีการตั้งค่าใหม่ที่จะช่วยให้คุณสามารถปิดใช้งานการบล็อกสำหรับบางไซต์ได้ การตั้งค่านี้จะนำไปใช้กับเนื้อหาแบบผสมที่ถูกบล็อกอยู่แล้ว เช่น สคริปต์และ iframe และจะถูกเรียกขึ้นมาผ่านเมนูที่เลื่อนลงเมื่อคุณคลิกที่สัญลักษณ์แม่กุญแจ แทนที่ตัวบ่งชี้ที่เสนอก่อนหน้านี้สำหรับการปิดใช้งานการบล็อก
Chrome 80 ซึ่งคาดว่าจะในวันที่ 4 กุมภาพันธ์ จะใช้รูปแบบการบล็อกแบบซอฟต์สำหรับไฟล์เสียงและวิดีโอ ซึ่งหมายถึงการแทนที่ลิงก์ http:// ด้วย https:// โดยอัตโนมัติ ซึ่งจะคงฟังก์ชันการทำงานไว้หากเข้าถึงทรัพยากรที่มีปัญหาผ่าน HTTPS ได้เช่นกัน . รูปภาพจะโหลดต่อไปโดยไม่มีการเปลี่ยนแปลง แต่หากดาวน์โหลดผ่าน http:// หน้า https:// จะแสดงตัวบ่งชี้การเชื่อมต่อที่ไม่ปลอดภัยสำหรับทั้งหน้า หากต้องการเปลี่ยนเป็น https หรือบล็อกรูปภาพโดยอัตโนมัติ นักพัฒนาไซต์จะสามารถใช้คุณสมบัติ CSP อัปเกรดคำขอที่ไม่ปลอดภัย และบล็อกเนื้อหาผสมทั้งหมดได้ Chrome 81 ซึ่งกำหนดไว้ในวันที่ 17 มีนาคม จะแก้ไข http:// เป็น https:// โดยอัตโนมัติสำหรับการอัปโหลดรูปภาพแบบผสม
นอกจากนี้กูเกิล
เพื่อรักษาความลับ เมื่อเข้าถึง API ภายนอก จะมีการส่งแฮชของการเข้าสู่ระบบและรหัสผ่านเพียงสองไบต์แรกเท่านั้น (ใช้อัลกอริธึมการแฮช
ที่มา: opennet.ru