Google
Cần lưu ý rằng hiện tại hơn 90% trang web được người dùng Chrome mở bằng HTTPS. Sự hiện diện của các phần chèn được tải mà không mã hóa sẽ tạo ra các mối đe dọa bảo mật thông qua việc sửa đổi nội dung không được bảo vệ nếu có quyền kiểm soát kênh liên lạc (ví dụ: khi kết nối qua Wi-Fi mở). Chỉ báo nội dung hỗn hợp được phát hiện là không hiệu quả và gây hiểu lầm cho người dùng vì nó không cung cấp đánh giá rõ ràng về tính bảo mật của trang.
Hiện tại, các loại nội dung hỗn hợp nguy hiểm nhất, chẳng hạn như tập lệnh và iframe, đã bị chặn theo mặc định nhưng vẫn có thể tải xuống hình ảnh, tệp âm thanh và video qua http://. Thông qua việc giả mạo hình ảnh, kẻ tấn công có thể thay thế Cookie theo dõi người dùng, cố gắng khai thác lỗ hổng trong bộ xử lý hình ảnh hoặc giả mạo bằng cách thay thế thông tin được cung cấp trong hình ảnh.
Việc giới thiệu việc chặn được chia thành nhiều giai đoạn. Chrome 79, dự kiến ra mắt vào ngày 10 tháng XNUMX, sẽ có cài đặt mới cho phép bạn tắt tính năng chặn đối với các trang web cụ thể. Cài đặt này sẽ được áp dụng cho nội dung hỗn hợp đã bị chặn, chẳng hạn như tập lệnh và iframe, đồng thời sẽ được gọi thông qua menu thả xuống khi bạn nhấp vào biểu tượng khóa, thay thế chỉ báo tắt tính năng chặn được đề xuất trước đó.
Chrome 80, dự kiến ra mắt vào ngày 4 tháng 81, sẽ sử dụng sơ đồ chặn mềm cho các tệp âm thanh và video, ngụ ý tự động thay thế các liên kết http:// bằng https://, điều này sẽ duy trì chức năng nếu tài nguyên có vấn đề cũng có thể truy cập được qua HTTPS . Hình ảnh sẽ tiếp tục tải mà không có thay đổi, nhưng nếu được tải xuống qua http://, các trang https:// sẽ hiển thị chỉ báo kết nối không an toàn cho toàn bộ trang. Để tự động thay đổi thành https hoặc chặn hình ảnh, nhà phát triển trang web sẽ có thể sử dụng thuộc tính CSP nâng cấp-yêu cầu không an toàn và chặn-tất cả-hỗn hợp-nội dung. Chrome 17, dự kiến ra mắt vào ngày XNUMX tháng XNUMX, sẽ tự động sửa lỗi http:// thành https:// đối với các hình ảnh tải lên hỗn hợp.
Ngoài ra, Google
Để duy trì tính bảo mật, khi truy cập API bên ngoài, chỉ có hai byte đầu tiên của hàm băm của thông tin đăng nhập và mật khẩu được truyền đi (thuật toán băm được sử dụng
Nguồn: opennet.ru