谷歌 關於更改處理透過 HTTPS 開啟的頁面上的混合內容的方法。 先前,如果透過 HTTPS 開啟的頁面上存在未加密(透過 http:// 協定)載入的元件,則會顯示特殊指示符。 未來已決定預設阻止此類資源的載入。 因此,透過「https://」開啟的頁面將保證僅包含透過安全通訊通道下載的資源。
值得注意的是,目前超過90%的網站是Chrome用戶使用HTTPS開啟的。 如果對通訊通道進行控制(例如,透過開放 Wi-Fi 連線時),則未經加密載入的插入內容的存在會透過修改未受保護的內容而產生安全威脅。 混合內容指示器被發現無效並且會誤導用戶,因為它沒有提供對頁面安全性的明確評估。
目前,腳本和 iframe 等最危險的混合內容類型已被預設阻止,但圖像、音訊檔案和視訊仍可透過 http:// 下載。 透過影像欺騙,攻擊者可以替換使用者追蹤 Cookie,嘗試利用影像處理器中的漏洞,或透過替換影像中提供的資訊來進行偽造。
阻塞的引入分為幾個階段。 Chrome 79 定於 10 月 XNUMX 日發布,將提供一項新設置,讓您可以停用對特定網站的封鎖。 此設定將應用於已封鎖的混合內容,例如腳本和 iframe,並且將透過點擊鎖定符號時下拉的選單調用,取代先前建議的用於停用封鎖的指示符。
Chrome 80 預計將於4 月81 日發布,將對音訊和視訊檔案使用軟體阻止方案,這意味著會自動將http:// 連結替換為https://,如果有問題的資源也可以透過HTTPS 訪問,這將保留功能。 圖像將繼續加載而不發生任何更改,但如果透過 http:// 下載,則 https:// 頁面將顯示整個頁面的不安全連接指示符。 若要自動變更為 https 或封鎖影像,網站開發人員將能夠使用 CSP 屬性升級不安全請求和阻止所有混合內容。 Chrome 17 計劃於 XNUMX 月 XNUMX 日發布,它將針對混合圖像上傳自動將 http:// 修正為 https://。
此外,Google 關於將新密碼檢查元件整合到 Chome 瀏覽器的下一個版本之一,之前 如 。 整合將導致常規 Chrome 密碼管理器中出現用於分析使用者使用的密碼可靠性的工具。 當您嘗試登入任何網站時,系統將根據受損帳戶的資料庫檢查您的登入名稱和密碼,如果偵測到問題,則會顯示警告。 該檢查是針對一個資料庫進行的,該資料庫涵蓋了洩漏的用戶資料庫中出現的超過 4 億個受損帳戶。 如果您嘗試使用簡單的密碼,例如“abc123”(由 Google(23% 的美國人使用相似的密碼),或在多個網站上使用相同的密碼時。
為了保持機密性,當訪問外部API時,僅傳輸登入名稱和密碼的雜湊值的前兩個位元組(使用雜湊演算法 )。 完整的雜湊值使用用戶端產生的金鑰進行加密。 Google 資料庫中的原始雜湊值也經過額外加密,僅留下雜湊值的前兩個位元組用於索引。 屬於傳輸的兩位元組前綴的雜湊值的最終驗證是在用戶端使用加密技術進行的“”,其中雙方都不知道正在檢查的數據的內容。 為了防止透過請求任意前綴的暴力方式確定受損帳戶的資料庫內容,傳輸的資料與根據經過驗證的登入名稱和密碼組合產生的金鑰一起進行加密。
來源: opennet.ru