Google HTTPS orqali ochilgan sahifalarda aralash tarkibni qayta ishlashga yondashuvni o'zgartirish haqida. Ilgari, HTTPS orqali ochilgan sahifalarda shifrlashsiz (http:// protokoli orqali) yuklangan komponentlar mavjud bo'lsa, maxsus ko'rsatkich ko'rsatiladi. Kelajakda bunday resurslarning yuklanishini sukut bo'yicha blokirovka qilishga qaror qilindi. Shunday qilib, "https://" orqali ochilgan sahifalar faqat xavfsiz aloqa kanali orqali yuklab olingan resurslarni o'z ichiga olishi kafolatlanadi.
Qayd etilishicha, hozirda saytlarning 90 foizdan ortig‘i Chrome foydalanuvchilari tomonidan HTTPS’dan foydalangan holda ochiladi. Shifrlashsiz yuklangan qo'shimchalarning mavjudligi, agar aloqa kanali ustidan nazorat mavjud bo'lsa (masalan, ochiq Wi-Fi orqali ulanishda) himoyalanmagan kontentni o'zgartirish orqali xavfsizlik tahdidlarini keltirib chiqaradi. Aralash kontent ko'rsatkichi samarasiz va foydalanuvchini chalg'ituvchi deb topildi, chunki u sahifa xavfsizligini aniq baholay olmaydi.
Hozirda skriptlar va iframes kabi aralash kontentning eng xavfli turlari sukut boʻyicha allaqachon bloklangan, biroq tasvirlar, audio fayllar va videolarni hali ham http:// orqali yuklab olish mumkin. Tasvirni aldash orqali tajovuzkor foydalanuvchi kuzatuvi cookie-fayllarini almashtirishi, tasvir protsessorlaridagi zaifliklardan foydalanishga urinishi yoki rasmda taqdim etilgan maʼlumotlarni oʻzgartirish orqali qalbakilashtirishi mumkin.
Bloklashning joriy etilishi bir necha bosqichlarga bo'lingan. 79 dekabrga mo'ljallangan Chrome 10 yangi sozlamani o'z ichiga oladi, bu sizga ma'lum saytlar uchun bloklashni o'chirish imkonini beradi. Ushbu sozlama allaqachon bloklangan aralash tarkibga, masalan, skriptlar va iframe'larga nisbatan qo'llaniladi va blokirovka belgisini bosganingizda pastga tushadigan menyu orqali chaqiriladi va bloklashni o'chirish uchun ilgari taklif qilingan indikator o'rniga qo'yiladi.
80-fevralda kutilayotgan Chrome 4 audio va video fayllar uchun yumshoq blokirovka sxemasidan foydalanadi, bu http:// havolalarini https:// bilan avtomatik almashtirishni nazarda tutadi, agar muammoli manbaga HTTPS orqali ham kirish mumkin bo‘lsa, funksionallikni saqlab qoladi. . Tasvirlar o'zgarishsiz yuklanishda davom etadi, lekin http:// orqali yuklab olinsa, https:// sahifalarida butun sahifa uchun xavfsiz ulanish ko'rsatkichi ko'rsatiladi. Avtomatik ravishda https-ga o'zgartirish yoki tasvirlarni bloklash uchun sayt ishlab chiquvchilari CSP xususiyatlaridan foydalanishi mumkin upgrade-inecure-requests va blok-barcha aralash-kontent. 81-martga mo‘ljallangan Chrome 17 aralash rasm yuklash uchun http:// ni https:// ga avtomatik ravishda to‘g‘rilaydi.
Bundan tashqari, Google avval yangi Password Checkup komponentining Chome brauzerining keyingi nashrlaridan biriga integratsiyalashuvi haqida sifatida . Integratsiya oddiy Chrome parol menejerida foydalanuvchi tomonidan ishlatiladigan parollarning ishonchliligini tahlil qilish vositalarining paydo bo'lishiga olib keladi. Har qanday saytga kirishga harakat qilganingizda, login va parolingiz buzilgan hisoblar ma'lumotlar bazasiga nisbatan tekshiriladi va muammolar aniqlansa, ogohlantirish ko'rsatiladi. Tekshiruv foydalanuvchilar ma'lumotlar bazalarida paydo bo'lgan 4 milliarddan ortiq buzilgan hisoblarni qamrab olgan ma'lumotlar bazasiga qarshi o'tkaziladi. Agar siz "abc123" kabi arzimas parollardan foydalanmoqchi bo'lsangiz, ogohlantirish ham ko'rsatiladi. Google amerikaliklarning 23 foizi o'xshash parollardan foydalanadi) yoki bir nechta saytlarda bir xil paroldan foydalanganda.
Maxfiylikni saqlash uchun tashqi API-ga kirishda login va parol xeshining faqat dastlabki ikki bayti uzatiladi (xesh algoritmidan foydalaniladi) ). To'liq xesh foydalanuvchi tomonida yaratilgan kalit bilan shifrlangan. Google ma'lumotlar bazasidagi asl xeshlar ham qo'shimcha shifrlangan va indekslash uchun xeshning faqat dastlabki ikki bayti qoldiriladi. O'tkazilgan ikki baytli prefiks ostidagi xeshlarni yakuniy tekshirish kriptografik texnologiyadan foydalangan holda foydalanuvchi tomonidan amalga oshiriladi "", bunda hech bir tomon tekshirilayotgan ma'lumotlarning mazmunini bilmaydi. O'zboshimchalik bilan prefikslar so'rovi bilan qo'pol kuch bilan aniqlangan buzilgan hisoblar ma'lumotlar bazasi tarkibidan himoya qilish uchun uzatilgan ma'lumotlar login va parolning tasdiqlangan kombinatsiyasi asosida yaratilgan kalit bilan bog'liq holda shifrlanadi.
Manba: opennet.ru