компанія Google
В даний час більше 90% сайтів відкриваються користувачами Chrome з використанням HTTPS. Наявність вставок, що завантажуються без шифрування, створює загрози порушення безпеки через модифікацію незахищеного контенту за наявності контролю за каналом зв'язку (наприклад, при підключенні через відкриті Wi-Fi). Індикатор змішаного контенту визнаний неефективним і вводить в оману, оскільки він не дає однозначної оцінки безпеки сторінки.
В даний час найбільш небезпечні види змішаного контенту, такі як скрипти та iframe, вже блокуються за замовчуванням, але зображення, звукові файли та відео, як і раніше, можуть бути завантажені за http://. Через заміну зображень атакуючий може підставити відстежувальні дії користувача Cookie, спробувати експлуатувати вразливості в обробниках зображень або зробити фальсифікацію, замінивши подану на зображенні інформацію.
Введення блокування поділено на кілька етапів. У Chrome 79, наміченому на 10 грудня, з'явиться нове налаштування, яке дозволить відключити блокування для конкретних сайтів. Зазначене налаштування буде застосовуватися для змішуваного контенту, що вже блокується, такого як скрипти і iframe, і викликатися через меню, що випадає при кліку на символ замку, замінивши собою раніше пропонований індикатор для відключення блокування.
У Chrome 80, який очікується 4 лютого, буде застосовано м'яку схему блокування звукових і відео файлів, що передбачає автоматичну заміну в посиланнях http:// на https://, що дозволить зберегти працездатність, якщо проблемний ресурс також доступний за HTTPS. Зображення продовжать завантажуватися без змін, але у разі завантаження http:// на сторінках https:// для всієї сторінки почне виводиться індикатор незахищеного з'єднання. Для автозаміни на https або блокування зображень розробники сайтів зможуть використовувати CSP-властивості upgrade-insecure-requests та block-all-mixed-content. У випуску Chrome 81, запланованому на 17 березня, при змішаному завантаженні зображень буде використано автозаміну на http:// на https://.
Крім того, компанія Google
Для збереження конфіденційності при зверненні до зовнішнього API передається лише перші два байти хешу від зв'язки з логіну та пароля (для хешування використовується алгоритм
Джерело: opennet.ru