Google Chrome
Google ir brīdinājis par izmaiņām pieejai jaukta satura apstrādei lapās, kas atvērtas, izmantojot HTTPS. Iepriekš ja atvērtās lapās būtu komponenti, kuros HTTPS būtu ielādēts bez šifrēšanas (izmantojot protokolu http: //), tika parādīta īpaša uzvedne.
Tagad nākamajām pārlūka versijām tika nolemts bloķēt šo resursu ielādi noklusējums. Tāpēc tiks nodrošināts, ka ar "https: //" atvērtajās lapās ir tikai resursi, kas ielādēti caur drošu komunikācijas kanālu.
Tiek novērots, ka pašlaik Chrome lietotāji atver vairāk nekā 90% vietņu, izmantojot HTTPS. Bez šifrēšanas lejupielādētu ieliktņu klātbūtne rada drošības pārkāpumu draudus, modificējot nedrošu saturu, kontrolējot sakaru kanālu (piemēram, izveidojot savienojumu, izmantojot atvērtu Wi-Fi).
Jauktā satura rādītājs tiek atzīts par neefektīvu un maldinošu, jo tas nepiedāvā nepārprotamu lapas drošības novērtējumu.
šobrīd, visbīstamākie jauktā satura veidi, piemēram, skripti un iframe, jau ir bloķēti pēc noklusējuma, bet attēlus, skaņas failus un videoklipus joprojām var lejupielādēt, izmantojot “http: //”.
Nomainot attēlus, uzbrucējs var aizstāt sīkfaila izsekošanas darbības, mēģināt izmantot attēlu procesoru ievainojamības vai izdarīt viltojumu, aizstājot attēlā redzamo informāciju.
Blokādes ieviešana ir sadalīta vairākos posmos. Pārlūkā Chrome 79 (kas paredzēts 10. decembrī), Parādīsies jauns iestatījums, kas atspējo noteiktu vietņu bloķēšanu.
Norādītie iestatījumi tiks lietoti jauktajam saturam, kas jau ir bloķēts, piemēram, skriptiem un iframe, un tiks aktivizēti, izmantojot izvēlni, kas tiek parādīta, noklikšķinot uz bloķēšanas simbola, aizstājot iepriekš piedāvāto indikatoru, lai atspējotu bloķēšanu.
Kamēr pārlūkam Chrome 80 (gaidāms 4. februārī) audio un video failiem tiks izmantota bloķēšanas shēma, kas ietver automātisku nomaiņu no http: // uz https: //, kas to uzturēs, ja problēmas resurss ir pieejams arī caur HTTPS.
Attēli tiks augšupielādēti nemainīti, bet, ja visu lapu lejupielādē, izmantojot http: // https: // lapās, tiks sākts nedroša savienojuma indikators. Lai automātiski aizstātu ar https vai bloķēt attēlus, vietņu izstrādātāji varēs izmantot atjauninātus nedrošus pieprasījumus un bloķēt visu saturu jauktus SPS rekvizītus.
Chrome 81 palaišana, paredzēts 17. martā, jauktu attēlu lejupielādei izmantos automātisko labošanu no http: // uz https: //.
Turklāt Google paziņoja integrācija vienā no nākamajām pārlūka Chome versijām, kas ir jauns Paroles pārbaude, iepriekš izstrādāts kā ārējs spraudnis.
Integrācijas rezultātā parādīsies pilnas slodzes paroļu pārvaldnieks Chrome rīki analizēt izmantoto paroļu uzticamību ko veic lietotājs. Mēģinot ievadīt jebkuru vietni, problēmu gadījumā lietotājvārds un parole tiks pārbaudīta, salīdzinot ar apdraudēto kontu datu bāzi, ar brīdinājumu.
Apstiprināšana tiek veikta datubāzē, kas aptver vairāk nekā 4 miljardus apdraudētu kontu kas tiek parādīti lietotāju datu bāzēs. Brīdinājums tiks parādīts arī tad, ja mēģināt izmantot tādas nenozīmīgas paroles kā "abc123" (Google statistikā 23% amerikāņu izmanto šīs paroles) vai arī tad, ja viņi izmanto vienu un to pašu paroli vairākās vietnēs.
Lai saglabātu konfidencialitāti, piekļūstot ārējai API, no savienojuma no pieteikšanās un paroles tiek pārsūtīti tikai pirmie divi jaucējbaiti baiti (jaucējkodam tiek izmantots algoritms Argon2). Pilna jaukšana tiek šifrēta ar lietotāja ģenerētu atslēgu.
Sākotnējie jaukti Google datubāzē arī tiek papildus šifrēti, un indeksēšanai paliek tikai pirmie divi hash baiti.
Lai pasargātu no apdraudēto kontu datubāzes satura noteikšanas, uzskaitot ar nejaušiem prefiksiem, atgrieztie dati tiek šifrēti attiecībā pret ģenerēto atslēgu, pamatojoties uz pārbaudīto pieteikšanās un paroles saiti.
Fuente: https://security.googleblog.com