گوگل HTTPS کے ذریعے کھولے گئے صفحات پر مخلوط مواد کی پروسیسنگ کے نقطہ نظر کو تبدیل کرنے کے بارے میں۔ پہلے، اگر HTTPS کے ذریعے کھولے گئے صفحات پر ایسے اجزاء موجود تھے جو بغیر خفیہ کاری کے (http:// پروٹوکول کے ذریعے) سے لوڈ کیے گئے تھے، تو ایک خاص اشارے ظاہر کیے جاتے تھے۔ مستقبل میں ایسے وسائل کی لوڈنگ کو بطور ڈیفالٹ بلاک کرنے کا فیصلہ کیا گیا ہے۔ اس طرح، "https://" کے ذریعے کھولے گئے صفحات کی ضمانت دی جائے گی کہ صرف ایک محفوظ مواصلاتی چینل کے ذریعے ڈاؤن لوڈ کیے گئے وسائل ہوں گے۔
واضح رہے کہ فی الحال 90% سے زیادہ سائٹیں کروم صارفین HTTPS استعمال کرتے ہوئے کھولی ہیں۔ انکرپشن کے بغیر بھری ہوئی انسرٹس کی موجودگی غیر محفوظ مواد میں ترمیم کے ذریعے حفاظتی خطرات پیدا کرتی ہے اگر مواصلاتی چینل پر کنٹرول ہو (مثال کے طور پر، کھلے Wi-Fi کے ذریعے جڑتے وقت)۔ مخلوط مواد کے اشارے کو غیر موثر اور صارف کے لیے گمراہ کن پایا گیا، کیونکہ یہ صفحہ کی سلامتی کا واضح اندازہ فراہم نہیں کرتا ہے۔
فی الحال، سب سے خطرناک قسم کے مخلوط مواد، جیسے اسکرپٹس اور iframes، پہلے سے ہی ڈیفالٹ کے ذریعے مسدود ہیں، لیکن امیجز، آڈیو فائلز اور ویڈیوز اب بھی http:// کے ذریعے ڈاؤن لوڈ کیے جا سکتے ہیں۔ امیج سپوفنگ کے ذریعے، حملہ آور صارف سے باخبر رہنے والی کوکیز کو تبدیل کر سکتا ہے، تصویری پروسیسرز میں موجود کمزوریوں سے فائدہ اٹھانے کی کوشش کر سکتا ہے، یا تصویر میں فراہم کردہ معلومات کو بدل کر جعلسازی کا ارتکاب کر سکتا ہے۔
بلاکنگ کا تعارف کئی مراحل میں تقسیم کیا جاتا ہے. کروم 79، جو 10 دسمبر کو ہونے والا ہے، ایک نئی ترتیب پیش کرے گا جو آپ کو مخصوص سائٹس کے لیے بلاکنگ کو غیر فعال کرنے کی اجازت دے گا۔ یہ ترتیب ایسے مخلوط مواد پر لاگو کی جائے گی جو پہلے سے مسدود ہیں، جیسے کہ اسکرپٹس اور iframes، اور اسے اس مینو کے ذریعے کال کیا جائے گا جو آپ کے لاک کی علامت پر کلک کرنے پر نیچے آتا ہے، بلاکنگ کو غیر فعال کرنے کے لیے پہلے سے تجویز کردہ اشارے کی جگہ لے کر۔
کروم 80، جو کہ 4 فروری کو متوقع ہے، آڈیو اور ویڈیو فائلوں کے لیے ایک نرم بلاکنگ اسکیم کا استعمال کرے گا، جس سے http:// لنکس کو https:// کے ساتھ خودکار طریقے سے تبدیل کیا جائے گا، جو کہ فعالیت کو محفوظ رکھے گا اگر پریشانی والے وسائل کو HTTPS کے ذریعے بھی قابل رسائی ہو۔ . تصاویر بغیر کسی تبدیلی کے لوڈ ہوتی رہیں گی، لیکن اگر http:// کے ذریعے ڈاؤن لوڈ کی جاتی ہے، تو https:// صفحہ پورے صفحہ کے لیے ایک غیر محفوظ کنکشن اشارے دکھائے گا۔ خود بخود https میں تبدیل کرنے یا امیجز کو بلاک کرنے کے لیے، سائٹ کے ڈویلپرز CSP پراپرٹیز کو اپ گریڈ-غیر محفوظ-درخواستیں اور بلاک-آل-مکسڈ-کونٹنٹ استعمال کر سکیں گے۔ کروم 81، جو 17 مارچ کو شیڈول ہے، مخلوط امیج اپ لوڈز کے لیے http:// سے https:// کو خود بخود درست کر دے گا۔
اس کے علاوہ، گوگل نئے پاس ورڈ چیک اپ جزو کے Chome براؤزر کی اگلی ریلیز میں سے ایک میں انضمام کے بارے میں، پہلے فارم میں . انضمام صارف کے ذریعہ استعمال کردہ پاس ورڈز کی وشوسنییتا کا تجزیہ کرنے کے لیے ٹولز کے باقاعدہ کروم پاس ورڈ مینیجر میں ظاہر ہونے کا باعث بنے گا۔ جب آپ کسی بھی سائٹ میں لاگ ان کرنے کی کوشش کرتے ہیں، تو آپ کے لاگ ان اور پاس ورڈ کو سمجھوتہ کیے گئے اکاؤنٹس کے ڈیٹا بیس سے چیک کیا جائے گا، اگر مسائل کا پتہ چل جائے تو ایک وارننگ ظاہر کی جائے گی۔ یہ جانچ ایک ایسے ڈیٹا بیس کے خلاف کی گئی ہے جس میں 4 بلین سے زیادہ سمجھوتہ کیے گئے اکاؤنٹس کا احاطہ کیا گیا ہے جو کہ لیک ہونے والے صارف کے ڈیٹا بیس میں ظاہر ہوئے ہیں۔ اگر آپ "abc123" جیسے معمولی پاس ورڈ استعمال کرنے کی کوشش کرتے ہیں تو ایک انتباہ بھی ظاہر کیا جائے گا۔ گوگل کے 23% امریکی ایک جیسے پاس ورڈ استعمال کرتے ہیں) یا جب ایک سے زیادہ سائٹس پر ایک ہی پاس ورڈ استعمال کرتے ہیں۔
رازداری کو برقرار رکھنے کے لیے، بیرونی API تک رسائی حاصل کرتے وقت، لاگ ان اور پاس ورڈ کے ہیش کے صرف پہلے دو بائٹس ہی منتقل کیے جاتے ہیں (ہیشنگ الگورتھم استعمال کیا جاتا ہے۔ )۔ مکمل ہیش کو صارف کی طرف سے تیار کردہ کلید کے ساتھ انکرپٹ کیا گیا ہے۔ گوگل ڈیٹا بیس میں اصل ہیشز بھی اضافی طور پر انکرپٹڈ ہیں اور ہیش کے صرف پہلے دو بائٹس انڈیکسنگ کے لیے رہ گئے ہیں۔ ہیشز کی حتمی تصدیق جو کہ ٹرانسمیٹڈ ٹو بائٹ پریفکس کے تحت آتی ہے صارف کی طرف سے کرپٹوگرافک ٹیکنالوجی کا استعمال کرتے ہوئے کی جاتی ہے۔"، جس میں کوئی بھی فریق نہیں جانتا کہ ڈیٹا کی جانچ پڑتال کی جا رہی ہے۔ سمجھوتہ کیے گئے اکاؤنٹس کے ڈیٹا بیس کے مواد سے بچانے کے لیے، جو صوابدیدی سابقے کی درخواست کے ساتھ بروٹ فورس کے ذریعے متعین کی جاتی ہے، منتقل شدہ ڈیٹا کو لاگ ان اور پاس ورڈ کے تصدیق شدہ امتزاج کی بنیاد پر تیار کی گئی کلید کے سلسلے میں انکرپٹ کیا جاتا ہے۔
ماخذ: opennet.ru