A Google Chrome következő verziói blokkolni kezdik a HTTP-erőforrásokat a HTTPS-oldalakon

Google Chrome

Google Chrome

A Google figyelmeztetett a vegyes tartalom kezelésében alkalmazott megközelítés megváltoztatására a HTTPS-en keresztül megnyitott oldalakon. Korábban, ha a HTTPS titkosítás nélkül betöltött nyitott oldalakon voltak alkatrészek (a http: // protokoll használatával) egy speciális prompt jelenik meg.

A böngésző következő verziói esetében úgy döntöttek, hogy blokkolják ezen erőforrások betöltését alapértelmezett. Ezért biztosítani kell, hogy a "https: //" útján megnyitott oldalak csak egy biztonságos kommunikációs csatornán keresztül töltött erőforrásokat tartalmazzanak.

Megfigyelhető, hogy jelenleg a Chrome-felhasználók a webhelyek több mint 90% -át megnyitják HTTPS-t használva. A titkosítás nélkül letöltött betétek jelenléte a biztonság megsértésének veszélyét idézi elő a bizonytalan tartalom módosításával a kommunikációs csatorna irányításának jelenlétében (például nyílt Wi-Fi-n keresztül történő kapcsolódás esetén).

A vegyes tartalmú mutatót hatástalannak és félrevezetőnek ismerik el, mivel nem kínál egyértelmű értékelést az oldal biztonságáról.

Jelenleg a vegyes tartalom legveszélyesebb típusai, például a szkriptek és az iframe-ek már le vannak tiltva alapértelmezés szerint, de a képek, hangfájlok és videók továbbra is letölthetők a „http: //” oldalon.

Képek cseréjével a támadó kicserélheti a cookie nyomkövetési műveleteit, megpróbálhatja kihasználni a képfeldolgozók sebezhetőségét, vagy hamisítást követhet el, helyettesítve a képen megjelenő információkat.

A blokád bevezetése több szakaszra oszlik. A Chrome 79-en (amelyet december 10-re terveznek), Megjelenik egy új beállítás, amely letiltja az egyes webhelyek blokkolását.

A megadott beállítások a már letiltott vegyes tartalmakra, például a szkriptekre és az iframe-ekre vonatkoznak, és a zár szimbólumra kattintáskor megjelenő menüben aktiválódnak, és az előzőleg javasolt jelzőt helyettesítik a zár kikapcsolásához.

Míg a Chrome 80-hoz (várhatóan február 4-én) zárolási sémát használnak az audio és video fájlokhoz, amely magában foglalja az automatikus cserét a http: // - ről a https: // - re, ami tovább fogja működni, ha a problémás erőforrás elérhető HTTPS-en keresztül is.

A képek változatlan formában kerülnek feltöltésre, de a http: // oldalon keresztül a https: // oldalakon keresztül történő letöltés esetén a teljes oldal jelzi a nem biztonságos kapcsolatot. A https vagy blokk képek automatikus cseréjéhez a webhelyfejlesztők képesek lesznek frissített, nem biztonságos kéréseket és blokkolni az összes tartalmat összekevert CSP tulajdonságokat.

A Chrome 81 bevezetése, március 17-re tervezett, vegyes képletöltésekhez az automatikus javítást használja a http: // és a https: // között.

google-password-checkup-chrome-extension

Ezenkívül a Google bejelentette integráció a Chome böngésző következő verzióinak egyikébe, a Jelszó-ellenőrzés, korábban külső pluginként fejlesztették ki.

Az integráció a teljes munkaidős jelszókezelő megjelenéséhez vezet Chrome-eszközök elemezni a használt jelszavak megbízhatóságát a felhasználó által. Ha megpróbál belépni bármelyik webhelyre, a felhasználónév és a jelszó a sérült fiókok adatbázisával összehasonlítva figyelmeztetéssel jelenik meg problémák esetén.

Az érvényesítés egy olyan adatbázison történik, amely több mint 4 milliárd sérült fiókot tartalmaz amelyek a felhasználói adatbázisok szivárgásában jelennek meg. Figyelmeztetés jelenik meg akkor is, ha olyan triviális jelszavakat próbál használni, mint az "abc123" (a Google statisztikája szerint az amerikaiak 23% -a használja ezeket a jelszavakat), vagy amikor ugyanazt a jelszót használja több webhelyen.

A titoktartás érdekében a külső API elérésekor a hash-ból csak az első két bájt kerül át a kapcsolattól a bejelentkezés és a jelszó alapján (az Argon2 algoritmust használják a kivonathoz). A teljes kivonat egy felhasználó által létrehozott kulccsal van titkosítva.

A Google adatbázisban található eredeti hasheket szintén titkosítják, és csak a hash első két bájtja marad indexeléshez.

Annak elkerülése érdekében, hogy véletlen előtagokkal számolva meg lehessen határozni a feltört adatbázisok tartalmát, a visszaküldött adatokat a hitelesített bejelentkezési és jelszó hivatkozás alapján a létrehozott kulcshoz képest titkosítják.

forrás: https://security.googleblog.com


Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.