E prossime versioni di Google Chrome inizieranu à bluccà e risorse HTTP in pagine HTTPS

Google Chrome

Google Chrome

Google hà avvistatu di un cambiamentu di approcciu à a gestione di cuntenuti misti nantu à e pagine aperte via HTTPS. Nanzu, s'ellu ci era cumpunenti in pagine aperte cù HTTPS caricate senza crittografia (aduprendu u protocolu http: //), un prompt speciale hè statu visualizatu.

Avà, per e prossime versioni di u navigatore, hè statu decisu di bluccà a carica di queste risorse difettu. Dunque, serà assicuratu chì e pagine aperte via "https: //" cuntenenu solu risorse caricate attraversu un canale di cumunicazione sicuru.

Hè osservatu chì attualmente l'utenti di Chrome aprenu più di 90% di i siti chì utilizanu HTTPS. A presenza di inserti scaricati senza crittografia crea una minaccia di violazione di a securità per mezu di a mudificazione di cuntenutu insicuro in presenza di cuntrollu nantu à u canali di cumunicazione (per esempiu, quandu si cunnessione via Wi-Fi apertu).

L'indicatore di cuntenutu mischju hè ricunnisciutu cum'è inefficace è ingannevule, cumu ùn offre micca una valutazione inequivoca di a sicurezza di a pagina.

Avà, i tippi più periculosi di cuntenutu mescolatu, cum'è script è iframes, sò dighjà bluccati per difettu, ma l'imaghjini, i fugliali sonori è i video ponu sempre esse scaricati via "http: //".

Sostituendu l'imaghjini, l'attaccante pò sustituisce l'azzioni di traccia di i cookies, pruvà à sfruttà e vulnerabilità in i processori di l'immagine o cumette una falsificazione, rimpiazzendu l'infurmazioni presentate in l'imagine.

L'intruduzioni di u bloccu hè divisu in parechje tappe. In Chrome 79 (chì hè prevista per u 10 di dicembre), Un novu paràmetru apparirà chì disattiverà u bloccu di siti specifici.

I paràmetri specificati seranu appiicati à u cuntenutu mischju dighjà bluccatu, cum'è script è iframes è seranu attivati ​​attraversu u menù chì apparisce quandu cliccate nantu à u simbulu di serratura, rimpiazzendu l'indicatore prupostu prima per disattivà a serratura.

Mentre per Chrome 80 (previstu per u 4 di ferraghju) un schema di bloccu serà adupratu per i fugliali audio è video, chì implica a sustituzione automatica da http: // à https: // chì u mantene da travaglià se a risorsa prublema hè ancu dispunibile via HTTPS.

L'imaghjini continueranu à caricare senza cambià, ma in casu di scaricamentu via http: // nantu à e pagine https: // per tutta a pagina, un indicatore di una cunnessione micca sicura serà iniziatu. Per u rimpiazzamentu automaticu cù https o bluccà l'imaghjini, i sviluppatori di u situ seranu capace di utilizà pruprietà CSP aghjurnate-insecure-requests-and block-all-content-mixed.

U lanciamentu di Chrome 81, prevista per u 17 di marzu, aduprà AutoCorrezzione da http: // à https: // per scaricamentu di immagini miste.

google-password-checkup-chrome-extension

Inoltre, Google hà annunziatu integrazione in una di e prossime versioni di u navigatore Chome, un novu cumpunente di Verificazione di Password, sviluppatu prima cum'è un plugin esternu.

L'integrazione porterà à l'apparizione in u gestore di password à tempu pienu Strumenti Chrome per analizà a fiducia di i password utilizati da l'utilizatore. Quandu pruvate à entre in un situ, u nome d'utilizatore è a password seranu verificati contr'à a basa di dati di conti compromessi cun un avvertimentu in casu di prublemi.

A cunvalidazione si face in una basa di dati chì copre più di 4 miliardi di conti compromessi chì sò presentati in perdite di basi di dati d'utilizatori. Un avvertimentu serà ancu affissatu quandu si prova à aduprà password triviali cum'è "abc123" (statistiche di Google 23% di l'Americani utilizanu sti password), o quand'elli usanu a stessa password in più siti.

Per priservà a cunfidenzialità, quandu accede à l'API esterna, solu i primi dui byte di l'hash sò trasferiti da a cunnessione da u login è a password (l'algoritmu Argon2 hè adupratu per l'hash). U hash pienu hè criptatu cù una chjave generata da l'utente.

I hash originali in a basa di dati di Google sò ancu crittografati in più è solu i primi dui byte di l'hash restanu per l'indexazione.

Per guardà da a determinazione di u cuntenutu di a basa di dati di conti compromessi enumerendu cù prefissi aleatorii, i dati restituiti sò criptati in relazione à a chjave generata basatu nantu à u login verificatu è u ligame di password.

source: https://security.googleblog.com


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.