Google Chrome
Google je upozorio na promjenu u pristupu rukovanju mješovitim sadržajem na stranicama otvorenim putem HTTPS-a. Prethodno, ako je na otvorenim stranicama bilo komponenata s HTTPS-om učitanim bez šifriranja (pomoću protokola http: //) prikazana je posebna obavijest.
Sada je za sljedeće verzije preglednika odlučeno blokirati učitavanje tih resursa zadano. Stoga će biti osigurano da stranice otvorene putem "https: //" sadrže samo resurse učitane putem sigurnog komunikacijskog kanala.
Primjećuje se da trenutno korisnici Chromea otvaraju više od 90% web-mjesta pomoću HTTPS-a. Prisutnost umetaka preuzetih bez šifriranja stvara prijetnju narušavanjem sigurnosti izmjenom nesigurnog sadržaja u prisutnosti kontrole nad komunikacijskim kanalom (na primjer, prilikom povezivanja putem otvorenog Wi-Fi-ja).
Pokazatelj miješanog sadržaja prepoznat je kao neučinkovit i obmanjujući, jer ne nudi nedvosmislenu procjenu sigurnosti stranice.
Trenutno, najopasnije vrste miješanog sadržaja, poput skripti i iframeova, već su blokirane prema zadanim postavkama, ali slike, zvučne datoteke i videozapisi i dalje se mogu preuzeti putem "http: //".
Zamjenom slika, napadač može zamijeniti radnje praćenja kolačića, pokušati iskoristiti ranjivosti u procesorima slika ili počiniti krivotvorenje, zamjenjujući podatke predstavljene na slici.
Uvođenje blokade podijeljeno je u nekoliko faza. Na Chromeu 79 (koji je zakazan za 10. prosinca), Pojavit će se nova postavka koja će onemogućiti blokiranje određenih web lokacija.
Navedene postavke primijenit će se na mješoviti sadržaj koji je već blokiran, poput skripti i iframeova, a aktivirat će se kroz izbornik koji se pojavi kada kliknete na simbol zaključavanja, zamjenjujući prethodno predloženi indikator za deaktiviranje blokiranja.
Dok je za Chrome 80 (očekuje se 4. veljače) shema zaključavanja koristit će se za audio i video datoteke, koji uključuje automatsku zamjenu s http: // na https: // što će nastaviti raditi ako je resurs problema dostupan i putem HTTPS-a.
Slike će se i dalje prenositi nepromijenjene, ali u slučaju preuzimanja putem http: // na https: // stranicama za cijelu stranicu, pokrenut će se indikator nesigurne veze. Za automatsku zamjenu https-om ili blokiranjem slika, programeri web stranica moći će koristiti CSP svojstva ažuriranih-nesigurnih-zahtjeva-i-blokiranih-svih-sadržaja.
Pokretanje Chromea 81, zakazano za 17. ožujka, koristit će AutoCorrect iz http: // u https: // za mješovita preuzimanja slika.
Uz to je najavio i Google integracija u jednu od sljedećih verzija preglednika Chome, novu komponentu Provjera lozinke, prethodno razvijen kao vanjski dodatak.
Integracija će dovesti do pojavljivanja u upravitelju lozinki s punim radnim vremenom Chrome alati za analizu pouzdanosti korištenih lozinki od strane korisnika. Kada pokušate ući na bilo koju stranicu, korisničko ime i lozinka provjerit će se u bazi podataka ugroženih računa s upozorenjem u slučaju problema.
Provjera valjanosti odvija se u bazi podataka koja pokriva više od 4 milijarde ugroženih računa koji su prikazani u curenju korisničkih baza podataka. Upozorenje će se prikazati i prilikom pokušaja upotrebe trivijalnih lozinki kao što je "abc123" (Google statistika 23% Amerikanaca koristi te lozinke) ili kada koriste istu lozinku na više web lokacija.
Da bi se sačuvala povjerljivost, prilikom pristupa vanjskom API-ju, samo se prva dva bajta hasha prenose s veze iz prijave i lozinke (za hash se koristi algoritam Argon2). Puno raspršivanje šifrirano je korisničkim ključem.
Izvorni heši u Googleovoj bazi podataka također su dodatno šifrirani i za indeksiranje ostaju samo prva dva bajta heša.
Da bi se zaštitili od utvrđivanja sadržaja baze podataka ugroženih računa nabrajanjem sa slučajnim prefiksima, vraćeni podaci šifriraju se u odnosu na generirani ključ na temelju provjerene veze za prijavu i lozinku.
izvor: https://security.googleblog.com