Google Chrome
Google je upozorio na promjenu u pristupu rukovanju mješovitim sadržajem na stranicama otvorenim putem HTTPS-a. Ranije, ako je na otvorenim stranicama bilo komponenata sa HTTPS-om učitanim bez šifriranja (pomoću protokola http: //) prikazana je posebna poruka.
Sada je za sljedeće verzije preglednika odlučeno blokirati učitavanje ovih resursa default. Stoga će biti osigurano da stranice otvorene putem "https: //" sadrže samo resurse učitane putem sigurnog komunikacijskog kanala.
Primjećuje se da trenutno korisnici Chromea otvaraju više od 90% web stranica pomoću HTTPS-a. Prisustvo umetaka preuzetih bez šifriranja stvara prijetnju narušavanjem sigurnosti modifikacijom nesigurnog sadržaja u prisutnosti kontrole nad komunikacijskim kanalom (na primjer, prilikom povezivanja putem otvorenog Wi-Fi-ja).
Pokazatelj miješanog sadržaja prepoznat je kao neučinkovit i obmanjujući, jer ne nudi nedvosmislenu procjenu sigurnosti stranice.
Trenutno, najopasnije vrste mješovitog sadržaja, poput skripti i iframe-a, već su blokirane po defaultu, ali slike, zvučne datoteke i videozapisi i dalje se mogu preuzeti putem „http: //“.
Zamjenom slika, napadač može zamijeniti radnje praćenja kolačića, pokušati iskoristiti ranjivosti u procesorima slika ili počiniti krivotvorenje, zamjenjujući informacije predstavljene na slici.
Uvođenje blokade podijeljeno je u nekoliko faza. U Chromeu 79 (koji je zakazan za 10. decembar), Pojavit će se nova postavka koja će onemogućiti blokiranje određenih web lokacija.
Navedene postavke primijenit će se na mješoviti sadržaj koji je već blokiran, poput skripti i iframe-a, a aktivirat će se kroz izbornik koji se pojavi kada kliknete na simbol zaključavanja, zamjenjujući prethodno predloženi indikator da onemogući zaključavanje.
Dok za Chrome 80 (očekuje se 4. februara) šema zaključavanja koristiće se za audio i video datoteke, što uključuje automatsku zamjenu s http: // na https: // što će nastaviti raditi ako je resurs problema dostupan i putem HTTPS-a.
Slike će se i dalje učitavati nepromijenjene, ali u slučaju preuzimanja putem http: // na https: // stranicama za cijelu stranicu, pokrenut će se indikator nesigurne veze. Za automatsku zamjenu https-om ili blokiranjem slika, programeri web stranica moći će koristiti CSP svojstva ažuriranih-nesigurnih-zahtjeva-i-blokiranih-sve-sadržaja.
Pokretanje Chrome 81, zakazano za 17. marta, koristiće AutoCorrect iz http: // u https: // za mješovita preuzimanja slika.
Pored toga, Google je najavio integracija u jednu od sljedećih verzija preglednika Chome, novu komponentu Provjera lozinke, prethodno razvijen kao eksterni dodatak.
Integracija će dovesti do pojavljivanja u upravitelju lozinki s punim radnim vremenom Chrome alati za analizu pouzdanosti korištenih lozinki od strane korisnika. Kada pokušate ući na bilo koju stranicu, korisničko ime i lozinka provjerit će se u bazi podataka ugroženih računa s upozorenjem u slučaju problema.
Provjera valjanosti vrši se na bazi podataka koja pokriva više od 4 milijarde ugroženih računa koji su predstavljeni u curenju korisničkih baza podataka. Upozorenje će se prikazati i prilikom pokušaja upotrebe trivijalnih lozinki kao što je "abc123" (Google statistika 23% Amerikanaca koristi ove lozinke) ili kada koriste istu lozinku na više web lokacija.
Da bi se sačuvala povjerljivost, prilikom pristupanja vanjskom API-ju, samo se prva dva bajta hasha prenose iz veze iz prijave i lozinke (za hash se koristi algoritam Argon2). Puno hash je šifrirano korisničkim ključem.
Izvorni heši u Googleovoj bazi podataka također su dodatno šifrirani i za indeksiranje ostaju samo prva dva bajta heša.
Da bi se zaštitili od utvrđivanja sadržaja baze podataka ugroženih računa nabrajanjem sa slučajnim prefiksima, vraćeni podaci se šifriraju u odnosu na generirani ključ na osnovu provjerene veze za prijavu i lozinku.
Izvor: https://security.googleblog.com