Google HTTPS aracılığıyla açılan sayfalarda karma içeriğin işlenmesine yönelik yaklaşımın değiştirilmesi hakkında. Daha önce, HTTPS aracılığıyla açılan sayfalarda şifreleme olmadan (http:// protokolü aracılığıyla) yüklenen bileşenler varsa özel bir gösterge gösteriliyordu. Gelecekte bu tür kaynakların yüklenmesinin varsayılan olarak engellenmesine karar verilmiştir. Böylece “https://” üzerinden açılan sayfaların yalnızca güvenli iletişim kanalı üzerinden indirilen kaynakları içermesi garanti altına alınacaktır.
Şu anda sitelerin %90'ından fazlasının HTTPS kullanan Chrome kullanıcıları tarafından açıldığı belirtiliyor. Şifreleme olmadan yüklenen eklerin varlığı, iletişim kanalı üzerinde kontrol varsa (örneğin, açık Wi-Fi aracılığıyla bağlanırken), korumasız içeriğin değiştirilmesi yoluyla güvenlik tehditleri oluşturur. Karma içerik göstergesinin, sayfanın güvenliğine ilişkin net bir değerlendirme sunmadığı için etkisiz ve kullanıcı açısından yanıltıcı olduğu görüldü.
Şu anda, komut dosyaları ve iframe'ler gibi en tehlikeli karışık içerik türleri zaten varsayılan olarak engellenmiştir, ancak resimler, ses dosyaları ve videolar yine de http:// üzerinden indirilebilir. Görüntü sahteciliği yoluyla bir saldırgan, kullanıcı izleme Çerezlerini değiştirebilir, görüntü işlemcilerindeki güvenlik açıklarından yararlanmaya çalışabilir veya görüntüde sağlanan bilgileri değiştirerek sahtecilik yapabilir.
Engellemenin tanıtılması birkaç aşamaya ayrılmıştır. 79 Aralık'ta çıkması planlanan Chrome 10, belirli siteler için engellemeyi devre dışı bırakmanıza olanak tanıyan yeni bir ayar içerecek. Bu ayar, komut dosyaları ve iframe'ler gibi zaten engellenmiş olan karma içeriğe uygulanacak ve kilit sembolüne tıkladığınızda açılan menü aracılığıyla çağrılacak ve engellemeyi devre dışı bırakmak için daha önce önerilen göstergenin yerine geçecektir.
80 Şubat'ta çıkması beklenen Chrome 4, ses ve video dosyaları için yumuşak bir engelleme şeması kullanacak; bu şema, http:// bağlantılarının https:// ile otomatik olarak değiştirilmesini ima edecek ve sorunlu kaynağa HTTPS yoluyla da erişilebiliyorsa işlevselliği koruyacaktır. . Resimler değişiklik yapılmadan yüklenmeye devam edecek, ancak http:// aracılığıyla indirilirse https:// sayfalarında tüm sayfa için güvenli olmayan bir bağlantı göstergesi görüntülenecektir. Otomatik olarak https'ye geçmek veya görselleri engellemek için site geliştiricileri CSP'nin yükseltme-güvensiz-istekler ve tüm-karışık-içeriği engelle özelliklerini kullanabilecektir. Chrome 81'in 17 Mart sürümünde, karışık resim yüklemelerinde http://, https:// olarak otomatik olarak düzeltilecektir.
Ayrıca Google'ın daha önce yeni Şifre Güvenliği bileşeninin Chome tarayıcısının sonraki sürümlerinden birine entegrasyonu hakkında olarak . Entegrasyon, kullanıcı tarafından kullanılan şifrelerin güvenilirliğini analiz etmek için normal Chrome şifre yöneticisinde araçların görünmesine yol açacaktır. Herhangi bir siteye giriş yapmaya çalıştığınızda, kullanıcı adınız ve şifreniz ele geçirilen hesaplardan oluşan bir veri tabanında kontrol edilecek ve sorun tespit edilirse bir uyarı görüntülenecektir. Kontrol, sızdırılan kullanıcı veritabanlarında ortaya çıkan 4 milyardan fazla ele geçirilmiş hesabı kapsayan bir veritabanına karşı gerçekleştiriliyor. "abc123" gibi önemsiz şifreler kullanmaya çalışırsanız da bir uyarı görüntülenecektir (tarafından Google Amerikalıların %23'ü benzer şifreler kullanıyor) veya aynı şifreyi birden fazla sitede kullanıyor.
Gizliliği korumak için, harici bir API'ye erişirken, kullanıcı adı ve şifrenin yalnızca ilk iki baytı iletilir (karma algoritması kullanılır) ). Tam karma, kullanıcı tarafında oluşturulan bir anahtarla şifrelenir. Google veritabanındaki orijinal karmalar da ek olarak şifrelenir ve karmanın yalnızca ilk iki baytı indeksleme için bırakılır. İletilen iki baytlık önekin kapsamına giren karmaların son doğrulaması, kriptografik teknoloji kullanılarak kullanıcı tarafında gerçekleştirilir "“, hiçbir tarafın kontrol edilen verilerin içeriğini bilmediği. Güvenliği ihlal edilmiş hesaplardan oluşan bir veritabanının içeriğinin, keyfi önek talebiyle kaba kuvvetle belirlenmesine karşı koruma sağlamak için, iletilen veriler, kullanıcı adı ve parolanın doğrulanmış bir kombinasyonu temelinde oluşturulan bir anahtarla bağlantılı olarak şifrelenir.
Kaynak: opennet.ru