Google varoval před změnou v přístupu ke zpracování smíšeného obsahu na stránkách otevřených přes HTTPS. Dříve, pokud byly na otevřených stránkách komponenty s HTTPS načteným bez šifrování (pomocí protokolu http: //) byla zobrazena speciální výzva.
Nyní pro další verze prohlížeče bylo rozhodnuto zablokovat načítání těchto zdrojů výchozí. Proto bude zajištěno, že stránky otevřené prostřednictvím „https: //“ obsahují pouze prostředky načtené zabezpečeným komunikačním kanálem.
Zjistili jsme, že v současné době uživatelé prohlížeče Chrome otevírají více než 90% webů pomocí protokolu HTTPS. Přítomnost vložených souborů stažených bez šifrování vytváří hrozbu narušení bezpečnosti úpravou nezabezpečeného obsahu za přítomnosti kontroly nad komunikačním kanálem (například při připojení přes otevřenou Wi-Fi).
Indikátor smíšeného obsahu je považován za neúčinný a zavádějící, protože nenabízí jednoznačné posouzení bezpečnosti stránky.
V současné době, nejnebezpečnější typy smíšeného obsahu, jako jsou skripty a prvky iframe, jsou již blokovány ve výchozím nastavení, ale obrázky, zvukové soubory a videa lze stále stáhnout přes „http: //“.
Nahrazením obrázků může útočník nahradit akce sledování souborů cookie, pokusit se zneužít chyby zabezpečení v obrazových procesorech nebo spáchat padělek a nahradit informace uvedené v obrázku.
Zavedení blokády je rozděleno do několika fází. V prohlížeči Chrome 79 (který je naplánován na 10. prosince), Objeví se nové nastavení, které zakáže blokování konkrétních webů.
Zadané nastavení bude použito na již blokovaný smíšený obsah, jako jsou skripty a prvky iframe, a bude aktivováno prostřednictvím nabídky, která se zobrazí po kliknutí na symbol zámku a nahradí dříve navržený indikátor, který zámek deaktivuje.
Zatímco pro Chrome 80 (očekává se 4. února) pro zvukové a video soubory bude použito zamykací schéma, což zahrnuje automatické nahrazení z http: // na https: //, což udrží jeho funkčnost, pokud je problémový prostředek k dispozici také přes HTTPS.
Obrázky se budou nadále nahrávat beze změny, ale v případě stahování přes http: // na https: // stránky pro celou stránku bude spuštěn indikátor nezabezpečeného připojení. Pro automatické nahrazení https nebo blokovat obrázky budou vývojáři webů moci používat aktualizované-nezabezpečené-požadavky-a blokovat-all-content-smíšené vlastnosti CSP.
Spuštění Chrome 81, naplánováno na 17. března, použije automatické opravy z http: // na https: // pro stahování smíšených obrázků.
Kromě toho společnost Google oznámila integrace do jedné z dalších verzí prohlížeče Chome, nové součásti Kontrola hesla, dříve vyvinut jako externí plugin.
Integrace povede k zobrazení ve správci hesel na plný úvazek Nástroje Chrome analyzovat spolehlivost použitých hesel uživatelem. Při pokusu o vstup na libovolný web bude uživatelské jméno a heslo ověřeno proti databázi napadených účtů s varováním v případě problémů.
Ověření probíhá v databázi, která pokrývá více než 4 miliardy napadených účtů které jsou prezentovány v úniku uživatelských databází. Varování se zobrazí také při pokusu o použití triviálních hesel, například „abc123“ (podle statistik Google tato hesla používá 23% Američanů), nebo při použití stejného hesla na více webech.
Z důvodu zachování důvěrnosti se při přístupu k externímu API přenášejí z připojení pouze první dva bajty hash z přihlašovacího jména a hesla (pro hash se používá algoritmus Argon2). Celý hash je šifrován pomocí klíče generovaného uživatelem.
Původní hodnoty hash v databázi Google jsou také dodatečně šifrovány a pro indexování zůstávají pouze první dva bajty hodnoty hash.
K ochraně před určením obsahu databáze ohrožených účtů výčtem s náhodnými předponami jsou vrácená data šifrována vzhledem k vygenerovanému klíči na základě ověřeného odkazu pro přihlášení a heslo.
zdroj: https://security.googleblog.com