Google Chrome
Google ha advertit sobre un canvi en l'enfocament per gestionar contingut mixt en pàgines obertes a través d'HTTPS. anteriorment, si hi havia components en pàgines obertes amb HTTPS carregades sense encriptació (Usant el protocol http: //), es mostrava un indicador especial.
Ara, per a les properes versions de navegador, es va decidir bloquejar la càrrega d'aquests recursos per defecte. Per tant, s'ha de garantir que les pàgines obertes mitjançant «https: //» continguin només recursos carregats a través d'un canal de comunicació segur.
S'observa que actualment els usuaris de Chrome obren més de l'90% dels llocs usant HTTPS. La presència d'inserts descarregats sense xifrat crea una amenaça de violació de seguretat a través de la modificació de contingut insegur en presència de control sobre el canal de comunicació (per exemple, quan es connecta mitjançant Wi-Fi obert).
L'indicador de contingut mixt es reconeix com ineficaç i enganyós, ja que no ofereix una avaluació inequívoca de la seguretat de la pàgina.
Actualment, els tipus més perillosos de contingut mixt, com scripts i iframes, ja estan bloquejats per defecte, però les imatges, els arxius de so i els vídeos encara es poden descarregar a través de "http: //".
Mitjançant la substitució d'imatges, l'atacant pot substituir les accions de seguiment de la galeta, tractar d'explotar vulnerabilitats en els processadors d'imatges o cometre una falsificació, reemplaçant la informació presentada a la imatge.
La introducció de l'bloqueig es divideix en diverses etapes. A Chrome 79 (Que aquesta programat per al 10 de desembre), apareixerà una nova configuració que desactivarà el bloqueig de llocs específics.
La configuració especificada s'aplicarà a el contingut mixt ja bloquejat, com scripts i iframes i s'activarà a través del menú que apareix quan fa clic al símbol de bloqueig, reemplaçant l'indicador proposat anteriorment per desactivar el bloqueig.
Mentre que per Chrome 80 (Que s'espera per al 4 de febrer) s'utilitzarà un esquema de bloqueig per a arxius d'àudio i vídeo, El que implica el reemplaçament automàtic de http: // a https: // que el mantindrà funcionant si el recurs problemàtic també està disponible a través d'HTTPS.
Les imatges continuaran carregant-sense canvis, però en cas de descarregar-se a través de http: // a les pàgines https: // per a tota la pàgina, s'iniciarà un indicador d'una connexió insegura. Per al reemplaçament automàtic amb https o imatges de bloc, els desenvolupadors de el lloc podran usar les propietats CSP actualitzades-insegures-sol·licituds i bloquejar-tot-contingut-mixt.
El llançament de Chrome 81, programat pel 17 de març, farà servir Correcció automàtica de http: // a https: // per a descàrregues d'imatges mixtes.
A més, Google va anunciar la integració en una de les properes versions de navegador Chome, un nou component de Password Checkup, desenvolupat prèviament com un complement extern.
La integració donarà lloc a l'aparició en l'administrador de contrasenyes de temps complet de les eines de Chrome per analitzar la fiabilitat de les contrasenyes utilitzades per l'usuari. Quan intenti ingressar a qualsevol lloc, el nom d'usuari i la contrasenya es verificaran a la base de dades de comptes compromeses amb un advertiment en cas de problemes.
La validació es porta a terme en una base de dades que cobreix més de 4 mil milions de comptes compromeses que es presenten en filtracions de bases de dades d'usuaris. També es mostrarà un advertiment a l'intentar utilitzar contrasenyes trivials com «abc123» (estadístiques Google 23% dels nord-americans usen aquestes contrasenyes), o quan fan servir la mateixa contrasenya en diversos llocs.
Per preservar la confidencialitat, a l'accedir a l'API externa, només es transfereixen els dos primers bytes de l'hash des de la connexió des de l'inici de sessió i la contrasenya (l'algoritme Argon2 s'usa per al hash). El hash complet es xifra amb una clau generada per l'usuari.
Els hashes originals a la base de dades de Google també es xifren addicionalment i només queden els dos primers bytes de l'hash per a la indexació.
Per protegir-se contra la determinació de l'contingut de la base de dades de comptes compromeses a l'enumerar amb prefixos aleatoris, les dades retornats es xifren en relació amb la clau generada en funció de l'enllaç verificat d'inici de sessió i contrasenya.
font: https://security.googleblog.com