Google Chrome
गूगलने मिश्रित सामग्री हाताळण्याच्या दृष्टीकोनात बदल करण्याचा इशारा दिला आहे पृष्ठांवर HTTPS मार्गे उघडलेले. पूर्वी, एनटीप्शनशिवाय लोड केलेले एचटीटीपीएस असलेले मुक्त पृष्ठांवर घटक असल्यास (http: // प्रोटोकॉल वापरुन), एक विशेष प्रॉमप्ट प्रदर्शित झाला.
आता, ब्राउझरच्या पुढील आवृत्तींसाठी, ही संसाधने लोड करणे अवरोधित करण्याचा निर्णय घेण्यात आला डीफॉल्ट म्हणूनच, हे सुनिश्चित केले जाईल की "https: //" द्वारे उघडलेली पृष्ठे केवळ सुरक्षित संप्रेषण चॅनेलद्वारे लोड केलेली संसाधने असतील.
असे दिसून आले आहे की सध्या Chrome वापरकर्ते एचटीटीपीएस वापरुन 90% पेक्षा जास्त साइट्स उघडतात. एन्क्रिप्शनशिवाय डाउनलोड केलेल्या इन्सर्टची उपस्थिती संप्रेषण चॅनेलवरील नियंत्रणाच्या उपस्थितीत असुरक्षित सामग्रीमध्ये बदल करून सुरक्षा उल्लंघन करण्याचा धोका निर्माण करते (उदाहरणार्थ, ओपन Wi-Fi द्वारे कनेक्ट करताना).
मिश्रित सामग्री निर्देशक अप्रभावी आणि दिशाभूल करणारे म्हणून ओळखले जाते, कारण ते पृष्ठाच्या सुरक्षिततेचे अस्पष्ट मूल्यांकन देत नाही.
सध्या, स्क्रिप्ट आणि इफ्रेम्स यासारख्या मिश्रित सामग्रीचा सर्वात धोकादायक प्रकार आधीपासून अवरोधित केला आहे डीफॉल्टनुसार परंतु प्रतिमा, ध्वनी फायली आणि व्हिडिओ अद्याप “HTTP: //” द्वारे डाउनलोड केले जाऊ शकतात.
प्रतिमांना प्रतिस्थापित करून, आक्रमणकर्ता कुकी ट्रॅकिंग क्रियांचा पर्याय घेऊ शकतो, प्रतिमा प्रोसेसरमधील असुरक्षा शोषण करण्याचा प्रयत्न करू शकतो किंवा प्रतिमेत सादर केलेली माहिती बदलून बनावट बनवू शकतो.
नाकाबंदीचा परिचय अनेक टप्प्यात विभागलेला आहे. क्रोम 79 वर (जे 10 डिसेंबर रोजी नियोजित आहे), एक नवीन सेटिंग दिसेल जी विशिष्ट साइट अवरोधित करणे अक्षम करेल.
निर्दिष्ट सेटिंग्ज आधीपासून अवरोधित केलेल्या मिश्र सामग्रीवर लागू केली जातील, जसे की स्क्रिप्ट्स आणि इफ्रेम्स आणि जेव्हा आपण लॉक चिन्हावर क्लिक करता तेव्हा दिसून येणार्या मेनूद्वारे सक्रिय केले जाईल, लॉक अक्षम करण्यासाठी आधीच्या प्रस्तावित सूचकऐवजी.
क्रोम 80 साठी असताना (4 फेब्रुवारी रोजी अपेक्षित) लॉकिंग योजना ऑडिओ आणि व्हिडिओ फायलींसाठी वापरली जाईल, ज्यामध्ये HTTP: // ते https: // पर्यंत स्वयंचलित पुनर्स्थापनेचा समावेश आहे जे समस्या संसाधन एचटीटीपीएस द्वारे उपलब्ध असल्यास कार्य करत राहील.
प्रतिमा अपरिवर्तनीय अपलोड करणे सुरू राहील, परंतु संपूर्ण पृष्ठासाठी https: // पृष्ठांवर http: // द्वारे डाउनलोड करण्याच्या बाबतीत, असुरक्षित कनेक्शनचे सूचक प्रारंभ केले जाईल. Https किंवा ब्लॉक प्रतिमांसह स्वयंचलित पुनर्स्थापनासाठी, साइट विकसक अद्यतनित-असुरक्षित-विनंत्या-आणि ब्लॉक-सर्व-सामग्री-मिश्रित सीएसपी गुणधर्मांचा वापर करण्यास सक्षम असतील.
क्रोम 81 लाँच, 17 मार्च रोजी नियोजित मिश्रित प्रतिमा डाऊनलोड करण्यासाठी http: // ते https: // पर्यंत स्वयंचलितरक्त वापरेल.
याव्यतिरिक्त, गूगलने जाहीर केले Chome ब्राउझरच्या पुढील आवृत्त्यांपैकी एकामध्ये एकत्रीकरण, चे नवीन घटक संकेतशब्द तपासणी, पूर्वी बाह्य प्लगइन म्हणून विकसित केलेले.
समाकलन पूर्ण-वेळ संकेतशब्द व्यवस्थापकात देखावा देईल Chrome साधने वापरलेल्या संकेतशब्दांच्या विश्वासार्हतेचे विश्लेषण करण्यासाठी वापरकर्त्याद्वारे जेव्हा आपण कोणतीही साइट प्रविष्ट करण्याचा प्रयत्न करता, तेव्हा समस्या असल्यास एका वापरकर्त्यास आणि संकेतशब्दाची तपासणी एखाद्या चेतावणीसह तडजोड केलेल्या खात्यांच्या डेटाबेसच्या विरूद्ध केली जाईल.
प्रमाणीकरण एका डेटाबेसवर होते ज्यामध्ये 4 अब्जाहून अधिक तडजोड केलेली खाती आहेत ते वापरकर्ता डेटाबेसच्या गळतीमध्ये सादर केले जातात. "Abc123" (गूगल आकडेवारी 23% अमेरिकन हे संकेतशब्द वापरतात) यासारख्या क्षुल्लक संकेतशब्दांचा वापर करण्याचा प्रयत्न करताना किंवा एकाधिक साइटवर समान संकेतशब्द वापरताना देखील एक चेतावणी दर्शविली जाईल.
गोपनीयतेचे जतन करण्यासाठी, बाह्य एपीआयमध्ये प्रवेश करताना, लॉग इन आणि संकेतशब्दावरून हॅशचे फक्त पहिले दोन बाइट कनेक्शनमधून हस्तांतरित केले जातात (अर्गोन 2 अल्गोरिदम हॅशसाठी वापरला जातो). पूर्ण हॅश वापरकर्त्याने व्युत्पन्न की सह कूटबद्ध केले आहे.
गूगल डेटाबेसमधील मूळ हॅश देखील व्यतिरिक्त एनक्रिप्टेड आहेत आणि हॅशचे फक्त पहिले दोन बाइट अनुक्रमित करण्यासाठी शिल्लक आहेत.
यादृच्छिक उपसर्गांसह गणना करुन तडजोड खाती डेटाबेसची सामग्री निश्चित करण्यापासून संरक्षण करण्यासाठी, परत केलेला डेटा सत्यापित लॉगिन आणि संकेतशब्दाच्या दुव्यावर आधारित व्युत्पन्न कीशी संबंधित एनक्रिप्टेड आहे.
स्त्रोत: https://security.googleblog.com