Следващите версии на Google Chrome ще започнат да блокират HTTP ресурси на HTTPS страници

Google Chrome

Google Chrome

Google предупреди за промяна в подхода при работа със смесено съдържание на страници, отворени чрез HTTPS. Преди това, ако на отворени страници има компоненти с HTTPS, зареден без криптиране (използвайки протокола http: //), беше показан специален ред.

Сега за следващите версии на браузъра беше решено да се блокира зареждането на тези ресурси по подразбиране. Следователно ще бъде гарантирано, че страниците, отворени чрез „https: //“, съдържат само ресурси, заредени чрез защитен комуникационен канал.

Забелязва се, че в момента потребителите на Chrome отварят над 90% от сайтовете, използващи HTTPS. Наличието на вложки, изтеглени без криптиране, създава заплаха от нарушаване на сигурността чрез модифициране на несигурно съдържание при наличие на контрол върху комуникационния канал (например при свързване чрез отворен Wi-Fi).

Показателят за смесено съдържание е признат за неефективен и подвеждащ, тъй като не предлага недвусмислена оценка на сигурността на страницата.

В момента най-опасните типове смесено съдържание, като скриптове и iframes, вече са блокирани по подразбиране, но изображения, звукови файлове и видеоклипове все още могат да бъдат изтеглени чрез „http: //“.

Като замества изображения, нападателят може да замени действия за проследяване на бисквитки, да се опита да използва уязвимости в процесорите за изображения или да извърши фалшификат, заменяйки информацията, представена в изображението.

Въвеждането на блокадата е разделено на няколко етапа. В Chrome 79 (което е насрочено за 10 декември), Ще се появи нова настройка, която ще деактивира блокирането на конкретни сайтове.

Посочените настройки ще бъдат приложени към вече блокирано смесено съдържание, като скриптове и iframes и ще бъдат активирани чрез менюто, което се появява, когато щракнете върху символа за заключване, замествайки предходния предложен индикатор за деактивиране на заключването.

Докато за Chrome 80 (очаква се на 4 февруари) схема за заключване ще се използва за аудио и видео файлове, което включва автоматично заместване от http: // на https: // което ще продължи да работи, ако проблемният ресурс е наличен и чрез HTTPS.

Изображенията ще продължат да се качват непроменени, но в случай на изтегляне чрез http: // на https: // страници за цялата страница, ще се стартира индикатор за несигурна връзка. За автоматична подмяна с https или блокиране на изображения, разработчиците на сайтове ще могат да използват CSP свойства с актуализирани-несигурни-заявки-и-блокирани с цялото съдържание.

Стартирането на Chrome 81, насрочено за 17 март, ще използва AutoCorrect от http: // до https: // за смесени изтегляния на изображения.

google-парола-проверка-хром-разширение

Освен това Google обяви интеграция в една от следващите версии на браузъра Chome, нов компонент на Проверка на парола, разработен преди това като външен плъгин.

Интеграцията ще доведе до появата в мениджъра на пароли за пълно работно време Chrome инструменти за анализ на надеждността на използваните пароли от потребителя. Когато се опитате да влезете в който и да е сайт, потребителското име и паролата ще бъдат проверени спрямо базата данни на компрометирани акаунти с предупреждение в случай на проблеми.

Проверката се извършва в база данни, която обхваща повече от 4 милиарда компрометирани акаунти които са представени при изтичане на потребителски бази данни. Предупреждение ще се покаже и при опит за използване на тривиални пароли като "abc123" (статистиката на Google 23% от американците използват тези пароли) или когато използват една и съща парола на множество сайтове.

За да се запази поверителността, при достъп до външния API само първите два байта на хеша се прехвърлят от връзката от потребителското име и паролата (алгоритъмът Argon2 се използва за хеш). Пълният хеш се кодира с генериран от потребителя ключ.

Оригиналните хешове в базата данни на Google също са допълнително криптирани и само първите два байта на хеша остават за индексиране.

За да се предпази от определяне на съдържанието на компрометираната база данни на акаунти чрез изброяване с произволни префикси, върнатите данни се криптират спрямо генерирания ключ въз основа на проверената връзка за вход и парола.

Fuente: https://security.googleblog.com


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.