Google on varoittanut muuttuneesta lähestymistavasta sekoitetun sisällön käsittelyyn sivuilla, jotka on avattu HTTPS: n kautta. Aiemmin, jos avoimilla sivuilla olisi komponentteja, joissa HTTPS on ladattu ilman salausta (käyttäen http: // -protokollaa) näytettiin erityinen kehote.
Seuraavien selainversioiden osalta päätettiin estää näiden resurssien lataaminen oletuksena. Siksi varmistetaan, että "https: //" -sivulla avatut sivut sisältävät vain suojatun viestintäkanavan kautta ladatut resurssit.
Havaitaan, että tällä hetkellä Chrome-käyttäjät avaavat yli 90% HTTPS: ää käyttävistä sivustoista. Ilman salausta ladattujen inserttien läsnäolo uhkaa tietoturvaloukkauksia muuttamalla epävarmaa sisältöä tietoliikennekanavan hallinnan läsnä ollessa (esimerkiksi kun muodostetaan yhteys avoimen Wi-Fi-yhteyden kautta).
Sekoitetun sisällön indikaattori tunnustetaan tehottomaksi ja harhaanjohtavaksi, koska se ei tarjoa yksiselitteistä arviointia sivun turvallisuudesta.
tällä hetkellä, vaarallisimmat sekoitetun sisällön tyypit, kuten komentosarjat ja iframe-kehykset, on jo estetty oletusarvoisesti, mutta kuvat, äänitiedostot ja videot voidaan silti ladata “http: //” -palvelun kautta.
Korvaamalla kuvia hyökkääjä voi korvata evästeiden seurantatoimet, yrittää hyödyntää kuvaprosessoreiden haavoittuvuuksia tai tehdä väärennöksen korvaamalla kuvassa esitetyt tiedot.
Saarton käyttöönotto on jaettu useisiin vaiheisiin. Chrome 79: ssä (joka on tarkoitus pitää 10. joulukuuta), Näkyviin tulee uusi asetus, joka poistaa tiettyjen sivustojen estämisen käytöstä.
Määritettyjä asetuksia sovelletaan jo estettyyn sekoitettuun sisältöön, kuten komentosarjoihin ja iframe-kehyksiin, ja ne aktivoidaan valikossa, joka tulee näkyviin, kun napsautat lukkosymbolia.
Vaikka Chrome 80: lle (odotettavissa 4. helmikuuta) esto-ohjelmaa käytetään ääni- ja videotiedostoille, joka sisältää automaattisen korvaamisen osoitteesta http: // tiedostoon https: //, mikä pitää sen toiminnassa, jos ongelmaresurssi on saatavana myös HTTPS: n kautta.
Kuvien lataaminen jatkuu muuttumattomana, mutta jos lataat koko sivun http: // https: // -sivuilla, indikaattori epävarmasta yhteydestä. Sivustokehittäjät voivat käyttää automaattisia korvauksia https- tai lohkokuvilla päivitetyillä, epävarmoilla pyynnöillä ja estää kaikki sisältö sekoitetuilla CSP-ominaisuuksilla.
Chrome 81: n julkaisu suunniteltu 17. maaliskuuta, käyttää automaattista korjausta osoitteesta http: // - https: // sekakuvien lataamiseen.
Lisäksi Google ilmoitti integrointi seuraavaan Chome-selaimen versioon, joka on uusi komponentti Salasanan tarkistus, aiemmin kehitetty ulkoisena laajennuksena.
Integrointi johtaa näkymiseen kokopäiväisessä salasananhallinnassa Chrome-työkalut analysoida käytettyjen salasanojen luotettavuus käyttäjä. Kun yrität päästä mihin tahansa sivustoon, käyttäjänimi ja salasana tarkistetaan vaarantuneiden tilien tietokannasta ja varoitetaan ongelmista.
Vahvistus suoritetaan tietokannassa, joka kattaa yli 4 miljardia vaarantunutta tiliä jotka esitetään vuotoina käyttäjätietokannoissa. Varoitus näytetään myös, kun yritetään käyttää triviaalia salasanaa, kuten "abc123" (Google-tilastot 23% amerikkalaisista käyttää näitä salasanoja) tai kun he käyttävät samaa salasanaa useilla sivustoilla.
Luottamuksellisuuden säilyttämiseksi ulkoista sovellusliittymää käytettäessä vain hashin kaksi ensimmäistä tavua siirretään yhteydeltä kirjautumiselta ja salasanalta (hashille käytetään Argon2-algoritmia). Koko hajautus salataan käyttäjän luomalla avaimella.
Myös Google-tietokannan alkuperäiset hajautukset salataan ja vain kaksi ensimmäistä tavua jäljellä on indeksoitavaksi.
Jotta vältetään vaarantuneen tilitietokannan sisällön määrittäminen laskemalla satunnaisilla etuliitteillä, palautetut tiedot salataan luotuun avainten suhteeseen vahvistetun kirjautumis- ja salasanalinkin perusteella.
lähde: https://security.googleblog.com