谷歌
值得注意的是,目前超过90%的网站是Chrome用户使用HTTPS打开的。 如果对通信通道进行控制(例如,通过开放 Wi-Fi 连接时),则未经加密加载的插入内容的存在会通过修改未受保护的内容而产生安全威胁。 混合内容指示器被发现无效并且会误导用户,因为它没有提供对页面安全性的明确评估。
目前,脚本和 iframe 等最危险的混合内容类型已被默认阻止,但图像、音频文件和视频仍然可以通过 http:// 下载。 通过图像欺骗,攻击者可以替换用户跟踪 Cookie,尝试利用图像处理器中的漏洞,或者通过替换图像中提供的信息来进行伪造。
阻塞的引入分为几个阶段。 Chrome 79 定于 10 月 XNUMX 日发布,将提供一项新设置,允许您禁用对特定网站的阻止。 此设置将应用于已被阻止的混合内容,例如脚本和 iframe,并且将通过单击锁定符号时下拉的菜单调用,替换之前建议的用于禁用阻止的指示符。
Chrome 80 预计将于 4 月 81 日发布,将对音频和视频文件使用软阻止方案,这意味着会自动将 http:// 链接替换为 https://,如果有问题的资源也可以通过 HTTPS 访问,这将保留功能。 图像将继续加载而不发生任何更改,但如果通过 http:// 下载,则 https:// 页面将显示整个页面的不安全连接指示符。 要自动更改为 https 或阻止图像,站点开发人员将能够使用 CSP 属性升级不安全请求和阻止所有混合内容。 Chrome 17 计划于 XNUMX 月 XNUMX 日发布,它将针对混合图像上传自动将 http:// 更正为 https://。
此外,谷歌
为了保持机密性,访问外部API时,仅传输登录名和密码的哈希值的前两个字节(使用哈希算法
来源: opennet.ru