Google เกี่ยวกับการเปลี่ยนแปลงวิธีการประมวลผลเนื้อหาผสมบนหน้าเว็บที่เปิดผ่าน HTTPS ก่อนหน้านี้ หากมีส่วนประกอบบนหน้าเว็บที่เปิดผ่าน HTTPS ซึ่งโหลดโดยไม่มีการเข้ารหัส (ผ่านโปรโตคอล http://) ตัวบ่งชี้พิเศษจะปรากฏขึ้น ในอนาคตมีการตัดสินใจที่จะบล็อกการโหลดทรัพยากรดังกล่าวโดยค่าเริ่มต้น ดังนั้น เพจที่เปิดผ่าน “https://” จะรับประกันได้ว่าจะมีเฉพาะทรัพยากรที่ดาวน์โหลดผ่านช่องทางการสื่อสารที่ปลอดภัยเท่านั้น
มีข้อสังเกตว่าในปัจจุบันมากกว่า 90% ของไซต์เปิดโดยผู้ใช้ Chrome โดยใช้ HTTPS การมีอยู่ของส่วนแทรกที่โหลดโดยไม่มีการเข้ารหัสจะสร้างภัยคุกคามด้านความปลอดภัยผ่านการปรับเปลี่ยนเนื้อหาที่ไม่ได้รับการป้องกัน หากมีการควบคุมช่องทางการสื่อสาร (เช่น เมื่อเชื่อมต่อผ่าน Wi-Fi แบบเปิด) พบว่าตัวบ่งชี้เนื้อหาผสมไม่ได้ผลและทำให้ผู้ใช้เข้าใจผิด เนื่องจากไม่ได้ให้การประเมินความปลอดภัยของเพจอย่างชัดเจน
ปัจจุบัน เนื้อหาผสมประเภทที่อันตรายที่สุด เช่น สคริปต์และ iframe ได้ถูกบล็อกโดยค่าเริ่มต้นแล้ว แต่รูปภาพ ไฟล์เสียง และวิดีโอยังคงสามารถดาวน์โหลดได้ผ่าน http:// ด้วยการปลอมแปลงรูปภาพ ผู้โจมตีสามารถใช้แทนคุกกี้ติดตามผู้ใช้ พยายามหาช่องโหว่ในโปรเซสเซอร์รูปภาพ หรือกระทำการปลอมแปลงโดยแทนที่ข้อมูลที่ให้ไว้ในรูปภาพ
การแนะนำการบล็อกแบ่งออกเป็นหลายขั้นตอน Chrome 79 ซึ่งกำหนดไว้ในวันที่ 10 ธันวาคมจะมีการตั้งค่าใหม่ที่จะช่วยให้คุณสามารถปิดใช้งานการบล็อกสำหรับบางไซต์ได้ การตั้งค่านี้จะนำไปใช้กับเนื้อหาแบบผสมที่ถูกบล็อกอยู่แล้ว เช่น สคริปต์และ iframe และจะถูกเรียกขึ้นมาผ่านเมนูที่เลื่อนลงเมื่อคุณคลิกที่สัญลักษณ์แม่กุญแจ แทนที่ตัวบ่งชี้ที่เสนอก่อนหน้านี้สำหรับการปิดใช้งานการบล็อก
Chrome 80 ซึ่งคาดว่าจะในวันที่ 4 กุมภาพันธ์ จะใช้รูปแบบการบล็อกแบบซอฟต์สำหรับไฟล์เสียงและวิดีโอ ซึ่งหมายถึงการแทนที่ลิงก์ http:// ด้วย https:// โดยอัตโนมัติ ซึ่งจะคงฟังก์ชันการทำงานไว้หากเข้าถึงทรัพยากรที่มีปัญหาผ่าน HTTPS ได้เช่นกัน . รูปภาพจะโหลดต่อไปโดยไม่มีการเปลี่ยนแปลง แต่หากดาวน์โหลดผ่าน http:// หน้า https:// จะแสดงตัวบ่งชี้การเชื่อมต่อที่ไม่ปลอดภัยสำหรับทั้งหน้า หากต้องการเปลี่ยนเป็น https หรือบล็อกรูปภาพโดยอัตโนมัติ นักพัฒนาไซต์จะสามารถใช้คุณสมบัติ CSP อัปเกรดคำขอที่ไม่ปลอดภัย และบล็อกเนื้อหาผสมทั้งหมดได้ Chrome 81 ซึ่งกำหนดไว้ในวันที่ 17 มีนาคม จะแก้ไข http:// เป็น https:// โดยอัตโนมัติสำหรับการอัปโหลดรูปภาพแบบผสม
นอกจากนี้กูเกิล เกี่ยวกับการผสานรวมเข้ากับเบราว์เซอร์ Chome รุ่นถัดไปของคอมโพเนนต์การตรวจสอบรหัสผ่านใหม่ก่อนหน้านี้ ในขณะที่ . การบูรณาการจะนำไปสู่การปรากฏในเครื่องมือจัดการรหัสผ่าน Chrome ปกติสำหรับการวิเคราะห์ความน่าเชื่อถือของรหัสผ่านที่ผู้ใช้ใช้ เมื่อคุณพยายามเข้าสู่ระบบไซต์ใดๆ การเข้าสู่ระบบและรหัสผ่านของคุณจะถูกตรวจสอบกับฐานข้อมูลของบัญชีที่ถูกบุกรุก โดยมีคำเตือนปรากฏขึ้นหากตรวจพบปัญหา การตรวจสอบจะดำเนินการกับฐานข้อมูลที่ครอบคลุมบัญชีที่ถูกบุกรุกมากกว่า 4 พันล้านบัญชีที่ปรากฏในฐานข้อมูลผู้ใช้ที่รั่วไหล คำเตือนจะปรากฏขึ้นหากคุณพยายามใช้รหัสผ่านเล็กๆ น้อยๆ เช่น "abc123" (by Google 23% ของชาวอเมริกันใช้รหัสผ่านที่คล้ายกัน) หรือเมื่อใช้รหัสผ่านเดียวกันในหลาย ๆ ไซต์
เพื่อรักษาความลับ เมื่อเข้าถึง API ภายนอก จะมีการส่งแฮชของการเข้าสู่ระบบและรหัสผ่านเพียงสองไบต์แรกเท่านั้น (ใช้อัลกอริธึมการแฮช ). แฮชแบบเต็มจะถูกเข้ารหัสด้วยคีย์ที่สร้างขึ้นจากฝั่งผู้ใช้ แฮชดั้งเดิมในฐานข้อมูล Google จะได้รับการเข้ารหัสเพิ่มเติมด้วย และเหลือเพียงสองไบต์แรกของแฮชเท่านั้นสำหรับการจัดทำดัชนี การตรวจสอบแฮชขั้นสุดท้ายที่อยู่ภายใต้คำนำหน้าสองไบต์ที่ส่งจะดำเนินการที่ฝั่งผู้ใช้โดยใช้เทคโนโลยีการเข้ารหัส”“ โดยทั้งสองฝ่ายไม่ทราบถึงเนื้อหาของข้อมูลที่กำลังตรวจสอบ เพื่อป้องกันเนื้อหาของฐานข้อมูลของบัญชีที่ถูกบุกรุกซึ่งถูกกำหนดโดยกำลังเดรัจฉานพร้อมกับคำขอคำนำหน้าโดยพลการ ข้อมูลที่ส่งจะถูกเข้ารหัสโดยเชื่อมต่อกับคีย์ที่สร้างขึ้นบนพื้นฐานของการผสมผสานการเข้าสู่ระบบและรหัสผ่านที่ตรวจสอบแล้ว
ที่มา: opennet.ru