Google
Şu anda sitelerin %90'ından fazlasının HTTPS kullanan Chrome kullanıcıları tarafından açıldığı belirtiliyor. Şifreleme olmadan yüklenen eklerin varlığı, iletişim kanalı üzerinde kontrol varsa (örneğin, açık Wi-Fi aracılığıyla bağlanırken), korumasız içeriğin değiştirilmesi yoluyla güvenlik tehditleri oluşturur. Karma içerik göstergesinin, sayfanın güvenliğine ilişkin net bir değerlendirme sunmadığı için etkisiz ve kullanıcı açısından yanıltıcı olduğu görüldü.
Şu anda, komut dosyaları ve iframe'ler gibi en tehlikeli karışık içerik türleri zaten varsayılan olarak engellenmiştir, ancak resimler, ses dosyaları ve videolar yine de http:// üzerinden indirilebilir. Görüntü sahteciliği yoluyla bir saldırgan, kullanıcı izleme Çerezlerini değiştirebilir, görüntü işlemcilerindeki güvenlik açıklarından yararlanmaya çalışabilir veya görüntüde sağlanan bilgileri değiştirerek sahtecilik yapabilir.
Engellemenin tanıtılması birkaç aşamaya ayrılmıştır. 79 Aralık'ta çıkması planlanan Chrome 10, belirli siteler için engellemeyi devre dışı bırakmanıza olanak tanıyan yeni bir ayar içerecek. Bu ayar, komut dosyaları ve iframe'ler gibi zaten engellenmiş olan karma içeriğe uygulanacak ve kilit sembolüne tıkladığınızda açılan menü aracılığıyla çağrılacak ve engellemeyi devre dışı bırakmak için daha önce önerilen göstergenin yerine geçecektir.
80 Şubat'ta çıkması beklenen Chrome 4, ses ve video dosyaları için yumuşak bir engelleme şeması kullanacak; bu şema, http:// bağlantılarının https:// ile otomatik olarak değiştirilmesini ima edecek ve sorunlu kaynağa HTTPS yoluyla da erişilebiliyorsa işlevselliği koruyacaktır. . Resimler değişiklik yapılmadan yüklenmeye devam edecek, ancak http:// aracılığıyla indirilirse https:// sayfalarında tüm sayfa için güvenli olmayan bir bağlantı göstergesi görüntülenecektir. Otomatik olarak https'ye geçmek veya görselleri engellemek için site geliştiricileri CSP'nin yükseltme-güvensiz-istekler ve tüm-karışık-içeriği engelle özelliklerini kullanabilecektir. Chrome 81'in 17 Mart sürümünde, karışık resim yüklemelerinde http://, https:// olarak otomatik olarak düzeltilecektir.
Ayrıca Google'ın
Gizliliği korumak için, harici bir API'ye erişirken, kullanıcı adı ve şifrenin yalnızca ilk iki baytı iletilir (karma algoritması kullanılır)
Kaynak: opennet.ru