Google Chrome
Google on hoiatanud segasisu käitlemise lähenemisviisi muutmise eest HTTPS-i kaudu avatud lehtedel. Varem kui avatud lehtedel oleks komponente, mille HTTPS on krüpteerimata laaditud (kasutades protokolli http: //) kuvati spetsiaalne viip.
Nüüd otsustati brauseri järgmiste versioonide jaoks nende ressursside laadimine blokeerida vaikimisi. Seetõttu tagatakse, et "https: //" kaudu avatud lehed sisaldavad ainult turvalise sidekanali kaudu laaditud ressursse.
On täheldatud, et praegu avavad Chrome'i kasutajad üle 90% saitidest, kasutades HTTPS-i. Ilma krüpteerimiseta alla laaditud sisestusdetailide olemasolu tekitab ebaturvalise sisu muutmise kaudu ohutuse turvarikkumistele sidekanali juhtimise korral (näiteks avatud WiFi kaudu ühenduse loomisel).
Segasisalduse näitajat peetakse ebaefektiivseks ja eksitavaks, kuna see ei paku üheselt mõistetavat lehe turvalisust.
Praegu segasisu kõige ohtlikumad tüübid, nagu skriptid ja iframe'id, on juba blokeeritud vaikimisi, kuid pilte, helifaile ja videoid saab siiski alla laadida „http: //” kaudu.
Piltide asendamise abil saab ründaja asendada küpsiste jälgimise toimingud, proovida ära kasutada pildiprotsessorite nõrkusi või teha võltsingu, asendades pildil kuvatud teabe.
Blokaadi kasutuselevõtt on jagatud mitmeks etapiks. Chrome 79-s (mis on kavandatud 10. detsembriks), Ilmub uus seade, mis keelab teatud saitide blokeerimise.
Määratud sätted rakendatakse juba blokeeritud segasisule, näiteks skriptidele ja iframe'idele, ning need aktiveeritakse menüü kaudu, mis ilmub siis, kui klõpsate luku sümbolil, asendades lukustuse keelamiseks eelnevalt pakutud indikaatori.
Kuigi Chrome 80 jaoks (eeldatavasti 4. veebruaril) heli- ja videofailide jaoks kasutatakse blokeerimisskeemi, mis hõlmab automaatset asendamist aadressilt http: // kuni https: //, mis hoiab seda töös, kui probleemne ressurss on saadaval ka HTTPS-i kaudu.
Piltide üleslaadimine jätkub muutmata kujul, kuid kogu lehe http: // kaudu https: // lehel allalaadimise korral algatatakse ebaturvalise ühenduse indikaator. Automaatseks asendamiseks https-i või blokeeritud piltidega saavad saidiarendajad kasutada värskendatud-ebaturvalisi-taotlusi-ja blokeerida kogu sisuga segatud CSP-sid.
Chrome 81 käivitamine kavandatud 17. märtsil kasutab segatud piltide allalaadimiseks automaatkorrigeerimist alates http: // kuni https: //.
Lisaks teatas Google integreerimine brauseri Chome järgmisse versiooni, mis on uus brauseri komponent Parooli kontroll, varem välja töötatud välise pistikprogrammina.
Integreerimine viib täistööajaga paroolihalduri ilmumiseni Chrome'i tööriistad analüüsida kasutatud paroolide usaldusväärsust kasutaja poolt. Kui proovite sisestada mis tahes saiti, kontrollitakse kasutajanime ja parooli rikutud kontode andmebaasi probleemide korral hoiatusega.
Valideerimine toimub andmebaasis, mis hõlmab enam kui 4 miljardit rikutud kontot mis on esitatud kasutaja andmebaaside lekitamises. Hoiatus kuvatakse ka siis, kui proovite kasutada tühiseid paroole nagu "abc123" (Google'i statistikas kasutab neid paroole 23% ameeriklastest) või kui nad kasutavad sama parooli mitmel saidil.
Konfidentsiaalsuse säilitamiseks kantakse välisele API-le juurdepääsemisel ühendusest sisselogimise ja parooli kaudu ainult räsi kaks esimest baiti (räsi jaoks kasutatakse Argon2 algoritmi). Kogu räsi krüpteeritakse kasutaja loodud võtmega.
Google'i andmebaasis olevad algsed räsid on ka täiendavalt krüpteeritud ja ainult kaks esimest räsi baiti jäävad indekseerimiseks.
Ohustatud kontode andmebaasi sisu kindlakstegemise eest juhuslike eesliidetega loendamise abil krüpteeritakse tagastatud andmed loodud võtme suhtes kinnitatud sisselogimis- ja paroolilingi põhjal.
allikas: https://security.googleblog.com