Google về việc thay đổi cách tiếp cận để xử lý nội dung hỗn hợp trên các trang được mở qua HTTPS. Trước đây, nếu có các thành phần trên các trang được mở qua HTTPS được tải mà không cần mã hóa (thông qua giao thức http://), thì một chỉ báo đặc biệt sẽ được hiển thị. Trong tương lai, người ta đã quyết định chặn việc tải các tài nguyên đó theo mặc định. Do đó, các trang được mở qua “https://” sẽ được đảm bảo chỉ chứa các tài nguyên được tải xuống qua kênh liên lạc an toàn.
Cần lưu ý rằng hiện tại hơn 90% trang web được người dùng Chrome mở bằng HTTPS. Sự hiện diện của các phần chèn được tải mà không mã hóa sẽ tạo ra các mối đe dọa bảo mật thông qua việc sửa đổi nội dung không được bảo vệ nếu có quyền kiểm soát kênh liên lạc (ví dụ: khi kết nối qua Wi-Fi mở). Chỉ báo nội dung hỗn hợp được phát hiện là không hiệu quả và gây hiểu lầm cho người dùng vì nó không cung cấp đánh giá rõ ràng về tính bảo mật của trang.
Hiện tại, các loại nội dung hỗn hợp nguy hiểm nhất, chẳng hạn như tập lệnh và iframe, đã bị chặn theo mặc định nhưng vẫn có thể tải xuống hình ảnh, tệp âm thanh và video qua http://. Thông qua việc giả mạo hình ảnh, kẻ tấn công có thể thay thế Cookie theo dõi người dùng, cố gắng khai thác lỗ hổng trong bộ xử lý hình ảnh hoặc giả mạo bằng cách thay thế thông tin được cung cấp trong hình ảnh.
Việc giới thiệu việc chặn được chia thành nhiều giai đoạn. Chrome 79, dự kiến ra mắt vào ngày 10 tháng XNUMX, sẽ có cài đặt mới cho phép bạn tắt tính năng chặn đối với các trang web cụ thể. Cài đặt này sẽ được áp dụng cho nội dung hỗn hợp đã bị chặn, chẳng hạn như tập lệnh và iframe, đồng thời sẽ được gọi thông qua menu thả xuống khi bạn nhấp vào biểu tượng khóa, thay thế chỉ báo tắt tính năng chặn được đề xuất trước đó.
Chrome 80, dự kiến ra mắt vào ngày 4 tháng 81, sẽ sử dụng sơ đồ chặn mềm cho các tệp âm thanh và video, ngụ ý tự động thay thế các liên kết http:// bằng https://, điều này sẽ duy trì chức năng nếu tài nguyên có vấn đề cũng có thể truy cập được qua HTTPS . Hình ảnh sẽ tiếp tục tải mà không có thay đổi, nhưng nếu được tải xuống qua http://, các trang https:// sẽ hiển thị chỉ báo kết nối không an toàn cho toàn bộ trang. Để tự động thay đổi thành https hoặc chặn hình ảnh, nhà phát triển trang web sẽ có thể sử dụng thuộc tính CSP nâng cấp-yêu cầu không an toàn và chặn-tất cả-hỗn hợp-nội dung. Chrome 17, dự kiến ra mắt vào ngày XNUMX tháng XNUMX, sẽ tự động sửa lỗi http:// thành https:// đối với các hình ảnh tải lên hỗn hợp.
Ngoài ra, Google về việc tích hợp vào một trong những bản phát hành tiếp theo của trình duyệt Chome của thành phần Kiểm tra mật khẩu mới, trước đây ở dạng . Việc tích hợp sẽ dẫn đến sự xuất hiện trong trình quản lý mật khẩu Chrome thông thường của các công cụ để phân tích độ tin cậy của mật khẩu mà người dùng sử dụng. Khi bạn cố gắng đăng nhập vào bất kỳ trang web nào, thông tin đăng nhập và mật khẩu của bạn sẽ được kiểm tra dựa trên cơ sở dữ liệu về các tài khoản bị xâm phạm, kèm theo cảnh báo hiển thị nếu phát hiện thấy sự cố. Việc kiểm tra được thực hiện dựa trên cơ sở dữ liệu bao gồm hơn 4 tỷ tài khoản bị xâm nhập xuất hiện trong cơ sở dữ liệu người dùng bị rò rỉ. Cảnh báo cũng sẽ được hiển thị nếu bạn cố gắng sử dụng các mật khẩu tầm thường như "abc123" (bởi Google 23% người Mỹ sử dụng mật khẩu giống nhau) hoặc khi sử dụng cùng một mật khẩu trên nhiều trang web.
Để duy trì tính bảo mật, khi truy cập API bên ngoài, chỉ có hai byte đầu tiên của hàm băm của thông tin đăng nhập và mật khẩu được truyền đi (thuật toán băm được sử dụng ). Toàn bộ hàm băm được mã hóa bằng khóa được tạo ở phía người dùng. Các hàm băm ban đầu trong cơ sở dữ liệu của Google cũng được mã hóa bổ sung và chỉ còn lại hai byte đầu tiên của hàm băm để lập chỉ mục. Việc xác minh cuối cùng các giá trị băm thuộc tiền tố hai byte được truyền được thực hiện ở phía người dùng bằng công nghệ mật mã ““, trong đó không bên nào biết nội dung dữ liệu đang được kiểm tra. Để bảo vệ khỏi nội dung cơ sở dữ liệu của các tài khoản bị xâm nhập được xác định bằng vũ lực bằng yêu cầu tiền tố tùy ý, dữ liệu được truyền sẽ được mã hóa cùng với khóa được tạo trên cơ sở kết hợp xác minh giữa thông tin đăng nhập và mật khẩu.
Nguồn: opennet.ru