谷歌
值得注意的是,目前超過90%的網站是Chrome用戶使用HTTPS開啟的。 如果對通訊通道進行控制(例如,透過開放 Wi-Fi 連線時),則未經加密載入的插入內容的存在會透過修改未受保護的內容而產生安全威脅。 混合內容指示器被發現無效並且會誤導用戶,因為它沒有提供對頁面安全性的明確評估。
目前,腳本和 iframe 等最危險的混合內容類型已被預設阻止,但圖像、音訊檔案和視訊仍可透過 http:// 下載。 透過影像欺騙,攻擊者可以替換使用者追蹤 Cookie,嘗試利用影像處理器中的漏洞,或透過替換影像中提供的資訊來進行偽造。
阻塞的引入分為幾個階段。 Chrome 79 定於 10 月 XNUMX 日發布,將提供一項新設置,讓您可以停用對特定網站的封鎖。 此設定將應用於已封鎖的混合內容,例如腳本和 iframe,並且將透過點擊鎖定符號時下拉的選單調用,取代先前建議的用於停用封鎖的指示符。
Chrome 80 預計將於4 月81 日發布,將對音訊和視訊檔案使用軟體阻止方案,這意味著會自動將http:// 連結替換為https://,如果有問題的資源也可以透過HTTPS 訪問,這將保留功能。 圖像將繼續加載而不發生任何更改,但如果透過 http:// 下載,則 https:// 頁面將顯示整個頁面的不安全連接指示符。 若要自動變更為 https 或封鎖影像,網站開發人員將能夠使用 CSP 屬性升級不安全請求和阻止所有混合內容。 Chrome 17 計劃於 XNUMX 月 XNUMX 日發布,它將針對混合圖像上傳自動將 http:// 修正為 https://。
此外,Google
為了保持機密性,當訪問外部API時,僅傳輸登入名稱和密碼的雜湊值的前兩個位元組(使用雜湊演算法
來源: opennet.ru