"Google Chrome"
„Google“ įspėjo apie pasikeitusį požiūrį į mišraus turinio tvarkymą puslapiuose, atidarytuose per HTTPS. Anksčiau jei atviruose puslapiuose būtų komponentų, kuriuose HTTPS būtų įkeltas be šifravimo (naudojant protokolą http: //) buvo parodytas specialus raginimas.
Dabar kitoms naršyklės versijoms nuspręsta blokuoti šių išteklių įkėlimą numatytas. Todėl bus užtikrinta, kad puslapiuose, atidarytuose naudojant „https: //“, būtų tik ištekliai, įkelti per saugų ryšio kanalą.
Pastebima, kad šiuo metu „Chrome“ vartotojai atidaro daugiau nei 90% svetainių, naudojančių HTTPS. Be šifravimo atsisiųstų įdėklų buvimas kelia saugumo pažeidimo grėsmę keičiant nesaugų turinį esant ryšio kanalo valdymui (pavyzdžiui, jungiantis per atvirą „Wi-Fi“).
Mišraus turinio rodiklis pripažįstamas neveiksmingu ir klaidinančiu, nes nesiūloma vienareikšmiškai įvertinti puslapio saugumo.
Šiuo metu pavojingiausi mišraus turinio tipai, pvz., scenarijai ir „iframe“, jau užblokuoti pagal numatytuosius nustatymus, tačiau vaizdus, garso failus ir vaizdo įrašus vis tiek galima atsisiųsti per „http: //“.
Pakeisdamas vaizdus, užpuolikas gali pakeisti slapukų stebėjimo veiksmus, pabandyti išnaudoti vaizdo procesorių pažeidžiamumą arba padirbti klastotę, pakeisdamas vaizde pateiktą informaciją.
Blokados įvedimas yra padalintas į kelis etapus. „Chrome 79“ (kuris planuojamas gruodžio 10 d.), Pasirodys naujas nustatymas, kuris neleis blokuoti konkrečių svetainių.
Nurodyti nustatymai bus taikomi mišriam turiniui, kuris jau užblokuotas, pvz., Scenarijams ir „iframe“, ir bus suaktyvinti per meniu, kuris pasirodys spustelėjus užrakto simbolį, pakeisdamas anksčiau pasiūlytą indikatorių, kad išjungtumėte blokavimą.
Nors „Chrome 80“ (numatoma vasario 4 d.) garso ir vaizdo failams bus naudojama blokavimo schema, kuris apima automatinį pakeitimą iš http: // į https: //, kuris išlaikys jo veikimą, jei problemos šaltinis taip pat pasiekiamas per HTTPS.
Vaizdai ir toliau bus keliami nepakitę, bet atsisiųsdami per http: // viso puslapio https: // puslapiuose, bus inicijuojamas nesaugaus ryšio indikatorius. Norėdami automatiškai pakeisti „https“ arba „block images“ vaizdus, svetainių kūrėjai galės naudoti atnaujintas-nesaugias-užklausas ir blokuoti-viso turinio mišriąsias CSP ypatybes.
„Chrome 81“ paleidimas, numatyta kovo 17 d. naudos automatinį taisymą nuo http: // iki https: // mišriems vaizdų atsisiuntimams.
Be to, „Google“ paskelbė integravimas į vieną iš sekančių „Chome“ naršyklės versijų, naują Slaptažodžio patikra, anksčiau sukurtas kaip išorinis papildinys.
Integravus bus rodomas slaptažodžių tvarkytuvas visą darbo dieną „Chrome“ įrankiai išanalizuoti naudojamų slaptažodžių patikimumą vartotojo. Kai bandysite patekti į bet kurią svetainę, vartotojo vardas ir slaptažodis bus patikrinti pagal pažeistų paskyrų duomenų bazę su įspėjimu, jei kiltų problemų.
Patvirtinimas atliekamas duomenų bazėje, kuri apima daugiau nei 4 milijardus pažeistų sąskaitų kurie pateikiami vartotojo duomenų bazių nutekėjimuose. Įspėjimas taip pat bus rodomas bandant naudoti nereikšmingus slaptažodžius, pvz., „Abc123“ („Google“ statistikoje 23% amerikiečių naudoja šiuos slaptažodžius) arba kai naudoja tą patį slaptažodį keliose svetainėse.
Norint išsaugoti konfidencialumą, kai prieinama prie išorinės API, iš prisijungimo iš slaptažodžio ir slaptažodžio perduodami tik pirmieji du maišos baitai (maišos atveju naudojamas „Argon2“ algoritmas). Visas maišos šifruojamas vartotojo sugeneruotu raktu.
Originalūs maišos „Google“ duomenų bazėje taip pat yra papildomai šifruojami ir indeksavimui lieka tik pirmieji du maišos baitai.
Norėdami apsisaugoti nuo pažeistų paskyrų duomenų bazės turinio nustatymo surašydami atsitiktiniais priešdėliais, grąžinti duomenys yra užšifruoti, palyginti su sugeneruotu raktu, remiantis patvirtintu prisijungimo ir slaptažodžio ryšiu.
Fuente: https://security.googleblog.com