谷歌 有關在 Chrome 86 的未來版本中針對不安全 Web 表單提交提供的保護的可用性。 保護涉及透過 HTTPS 載入的頁面上顯示的表單,但透過 HTTP 發送未經加密的數據,這會在 MITM 攻擊期間造成數據攔截和欺騙的威脅。 對於此類混合 Web 表單,實施了三項變更:
- 任何混合輸入表單的自動填寫已被停用,類似於在透過 HTTP 開啟的頁面上自動填寫身份驗證表單已停用相當長一段時間的情況。 如果先前停用的標誌是透過 HTTPS 或 HTTP 開啟帶有表單的頁面,那麼現在也會考慮在向表單處理程序傳送資料時使用加密。 密碼管理器允許使用強而獨特的密碼進行混合形式的身份驗證,因此不會被停用,因為使用不安全密碼和在不同網站上重複使用密碼的風險超過了潛在流量攔截的風險。
- 當開始輸入混合表單時,將顯示一條警告,通知用戶已完成的資料正在透過未加密的通訊通道發送。
- 如果您嘗試提交混合表單,將顯示一個單獨的頁面,通知您透過未加密的通訊通道傳輸資料的潛在風險。 在先前的版本中,地址漏斗中的掛鎖指示器用於指示混合形式,但這樣的標記對使用者來說並不明顯,不能有效反映正在出現的風險。
來源: opennet.ru