谷歌 关于 Chrome 86 未来版本中针对不安全 Web 表单提交的保护的可用性。 保护涉及通过 HTTPS 加载的页面上显示的表单,但通过 HTTP 发送未经加密的数据,这会在 MITM 攻击期间造成数据拦截和欺骗的威胁。 对于此类混合 Web 表单,实施了三项更改:
- 任何混合输入表单的自动填写已被禁用,类似于在通过 HTTP 打开的页面上自动填写身份验证表单已被禁用相当长一段时间的情况。 如果以前禁用的标志是通过 HTTPS 或 HTTP 打开带有表单的页面,那么现在还将考虑在向表单处理程序发送数据时使用加密。 密码管理器允许使用强而独特的密码进行混合形式的身份验证,因此不会被禁用,因为使用不安全密码和在不同站点上重复使用密码的风险超过了潜在流量拦截的风险。
- 当开始输入混合表单时,将显示一条警告,通知用户已完成的数据正在通过未加密的通信通道发送。
- 如果您尝试提交混合表单,将显示一个单独的页面,通知您通过未加密的通信通道传输数据的潜在风险。 在之前的版本中,地址漏斗中的挂锁指示器用于指示混合形式,但这样的标记对用户来说并不明显,不能有效反映正在出现的风险。
来源: opennet.ru