ستبدأ الإصدارات التالية من Google Chrome في حظر موارد HTTP على صفحات HTTPS

جوجل كروم

جوجل كروم

حذرت Google من تغيير في نهج التعامل مع المحتوى المختلط على الصفحات المفتوحة عبر HTTPS. سابقا، إذا كانت هناك مكونات على صفحات مفتوحة تم تحميل HTTPS بدون تشفير (باستخدام بروتوكول http: //) ، تم عرض موجه خاص.

الآن ، بالنسبة للإصدارات التالية من المتصفح ، تقرر منع تحميل هذه الموارد إفتراضي. لذلك ، سيتم التأكد من أن الصفحات التي يتم فتحها عبر "https: //" تحتوي فقط على موارد تم تحميلها عبر قناة اتصال آمنة.

يُلاحظ أن مستخدمي Chrome حاليًا يفتحون أكثر من 90٪ من المواقع باستخدام HTTPS. يؤدي وجود الإدخالات التي تم تنزيلها بدون تشفير إلى تهديد بخرق أمني من خلال تعديل المحتوى غير الآمن في ظل وجود سيطرة على قناة الاتصال (على سبيل المثال ، عند الاتصال عبر شبكة Wi-Fi مفتوحة).

يتم التعرف على مؤشر المحتوى المختلط على أنه غير فعال ومضلل ، لأنها لا تقدم تقييمًا واضحًا لأمان الصفحة.

حاليا، أخطر أنواع المحتوى المختلط ، مثل البرامج النصية وإطارات iframe ، ممنوعة بالفعل افتراضيًا ، ولكن لا يزال من الممكن تنزيل الصور وملفات الصوت ومقاطع الفيديو عبر "http: //".

من خلال استبدال الصور ، يمكن للمهاجم استبدال إجراءات تتبع ملفات تعريف الارتباط ، ومحاولة استغلال الثغرات الأمنية في معالجات الصور أو ارتكاب عملية تزوير ، واستبدال المعلومات المقدمة في الصورة.

ينقسم تطبيق الحصار إلى عدة مراحل. في Chrome 79 (والذي من المقرر عقده في 10 ديسمبر) ، سيظهر إعداد جديد سيعطل حظر مواقع معينة.

سيتم تطبيق الإعدادات المحددة على المحتوى المختلط المحظور بالفعل ، مثل البرامج النصية وإطارات iframes وسيتم تنشيطها من خلال القائمة التي تظهر عند النقر فوق رمز القفل ، لتحل محل المؤشر المقترح مسبقًا لتعطيل القفل.

بينما لمتصفح Chrome 80 (متوقع يوم 4 فبراير) سيتم استخدام نظام قفل لملفات الصوت والفيديو، والذي يتضمن الاستبدال التلقائي من http: // إلى https: // والذي سيبقيه يعمل إذا كان مورد المشكلة متاحًا أيضًا عبر HTTPS.

سيستمر تحميل الصور دون تغيير ، ولكن في حالة التنزيل عبر http: // على صفحات https: // للصفحة بأكملها ، سيبدأ مؤشر اتصال غير آمن. للاستبدال التلقائي بـ https أو حظر الصور ، سيتمكن مطورو الموقع من استخدام خصائص CSP المختلطة والمحدثة وغير الآمنة وحظر كل المحتوى المختلط.

إطلاق كروم 81 ، المقرر عقده في 17 مارس ، سيستخدم التصحيح التلقائي من http: // إلى https: // لتنزيلات الصور المختلطة.

google-password-checkup-chrome-extension

بالإضافة إلى ذلك ، أعلنت جوجل الاندماج في أحد الإصدارات التالية من متصفح Chome ، وهو مكون جديد من فحص كلمة المرور ، تم تطويره مسبقًا كمكوِّن إضافي خارجي.

سيؤدي التكامل إلى الظهور في مدير كلمات المرور بدوام كامل أدوات Chrome لتحليل موثوقية كلمات المرور المستخدمة من قبل المستخدم. عند محاولة الدخول إلى أي موقع ، سيتم التحقق من اسم المستخدم وكلمة المرور مقابل قاعدة بيانات الحسابات المخترقة مع تحذير في حالة حدوث مشاكل.

يتم التحقق من صحة البيانات على قاعدة بيانات تغطي أكثر من 4 مليارات حساب مخترق التي يتم عرضها في تسريبات قواعد بيانات المستخدم. سيتم أيضًا عرض تحذير عند محاولة استخدام كلمات مرور تافهة مثل "abc123" (إحصائيات Google يستخدم 23٪ من الأمريكيين كلمات المرور هذه) ، أو عند استخدام نفس كلمة المرور على مواقع متعددة.

للحفاظ على السرية ، عند الوصول إلى واجهة برمجة التطبيقات الخارجية ، يتم نقل أول وحدتي بايت فقط من التجزئة من الاتصال من تسجيل الدخول وكلمة المرور (يتم استخدام خوارزمية Argon2 للتجزئة). يتم تشفير التجزئة الكاملة بمفتاح من إنشاء المستخدم.

يتم أيضًا تشفير التجزئة الأصلية في قاعدة بيانات Google بشكل إضافي ويبقى أول وحدتي بايت فقط من التجزئة للفهرسة.

للحماية من تحديد محتوى قاعدة بيانات الحسابات المخترقة عن طريق التعداد ببادئات عشوائية ، يتم تشفير البيانات التي تم إرجاعها بالنسبة إلى المفتاح الذي تم إنشاؤه بناءً على رابط تسجيل الدخول وكلمة المرور الذي تم التحقق منه.

مصدر: https://security.googleblog.com


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.