谷歌 关于更改处理通过 HTTPS 打开的页面上的混合内容的方法。 以前,如果通过 HTTPS 打开的页面上存在未加密(通过 http:// 协议)加载的组件,则会显示特殊指示符。 未来已决定默认阻止此类资源的加载。 因此,通过“https://”打开的页面将保证仅包含通过安全通信通道下载的资源。
值得注意的是,目前超过90%的网站是Chrome用户使用HTTPS打开的。 如果对通信通道进行控制(例如,通过开放 Wi-Fi 连接时),则未经加密加载的插入内容的存在会通过修改未受保护的内容而产生安全威胁。 混合内容指示器被发现无效并且会误导用户,因为它没有提供对页面安全性的明确评估。
目前,脚本和 iframe 等最危险的混合内容类型已被默认阻止,但图像、音频文件和视频仍然可以通过 http:// 下载。 通过图像欺骗,攻击者可以替换用户跟踪 Cookie,尝试利用图像处理器中的漏洞,或者通过替换图像中提供的信息来进行伪造。
阻塞的引入分为几个阶段。 Chrome 79 定于 10 月 XNUMX 日发布,将提供一项新设置,允许您禁用对特定网站的阻止。 此设置将应用于已被阻止的混合内容,例如脚本和 iframe,并且将通过单击锁定符号时下拉的菜单调用,替换之前建议的用于禁用阻止的指示符。
Chrome 80 预计将于 4 月 81 日发布,将对音频和视频文件使用软阻止方案,这意味着会自动将 http:// 链接替换为 https://,如果有问题的资源也可以通过 HTTPS 访问,这将保留功能。 图像将继续加载而不发生任何更改,但如果通过 http:// 下载,则 https:// 页面将显示整个页面的不安全连接指示符。 要自动更改为 https 或阻止图像,站点开发人员将能够使用 CSP 属性升级不安全请求和阻止所有混合内容。 Chrome 17 计划于 XNUMX 月 XNUMX 日发布,它将针对混合图像上传自动将 http:// 更正为 https://。
此外,谷歌 关于将新密码检查组件集成到 Chome 浏览器的下一版本之一,之前 如 。 集成将导致常规 Chrome 密码管理器中出现用于分析用户使用的密码可靠性的工具。 当您尝试登录任何站点时,系统将根据受损帐户的数据库检查您的登录名和密码,如果检测到问题,则会显示警告。 该检查是针对一个数据库进行的,该数据库涵盖了泄露的用户数据库中出现的超过 4 亿个受损帐户。 如果您尝试使用简单的密码,例如“abc123”(由 Google(23% 的美国人使用相似的密码),或者在多个网站上使用相同的密码时。
为了保持机密性,访问外部API时,仅传输登录名和密码的哈希值的前两个字节(使用哈希算法 )。 完整的哈希值使用用户端生成的密钥进行加密。 Google 数据库中的原始哈希值也经过额外加密,仅留下哈希值的前两个字节用于索引。 对属于传输的两字节前缀的哈希值的最终验证是在用户端使用加密技术进行的“”,其中双方都不知道被检查的数据的内容。 为了防止通过请求任意前缀的暴力方式确定受损帐户的数据库内容,传输的数据结合基于经过验证的登录名和密码组合生成的密钥进行加密。
来源: opennet.ru