Google Chrome
Google telah memberi amaran tentang perubahan pendekatan untuk menangani kandungan campuran di halaman yang dibuka melalui HTTPS. Sebelum ini, sekiranya terdapat komponen pada halaman terbuka dengan HTTPS dimuat tanpa penyulitan (menggunakan protokol http: //), arahan khas ditampilkan.
Sekarang, untuk versi penyemak imbas seterusnya, diputuskan untuk menyekat pemuatan sumber daya ini lalai. Oleh itu, akan dipastikan bahawa halaman yang dibuka melalui "https: //" hanya mengandungi sumber yang dimuat melalui saluran komunikasi yang selamat.
Telah diperhatikan bahawa pada masa ini pengguna Chrome membuka lebih dari 90% laman web menggunakan HTTPS. Kehadiran sisipan yang dimuat turun tanpa penyulitan menimbulkan ancaman pelanggaran keselamatan melalui pengubahsuaian kandungan tidak selamat dengan adanya kawalan ke atas saluran komunikasi (contohnya, ketika menyambung melalui Wi-Fi terbuka).
Penunjuk kandungan campuran diakui tidak berkesan dan mengelirukan, kerana ia tidak memberikan penilaian yang tegas mengenai keselamatan halaman.
Pada masa ini, jenis kandungan campuran yang paling berbahaya, seperti skrip dan iframe, sudah disekat secara lalai, tetapi gambar, fail suara dan video masih dapat dimuat melalui "http: //".
Dengan mengganti gambar, penyerang dapat menggantikan tindakan pelacakan kuki, cuba mengeksploitasi kerentanan pada pemproses gambar atau melakukan pemalsuan, menggantikan informasi yang disajikan dalam gambar.
Pengenalan blokade terbahagi kepada beberapa peringkat. Di Chrome 79 (yang dijadualkan pada 10 Disember), Tetapan baru akan muncul yang akan melumpuhkan pencekalan laman web tertentu.
Tetapan yang ditentukan akan diterapkan pada konten campuran yang sudah disekat, seperti skrip dan iframe dan akan diaktifkan melalui menu yang muncul ketika anda mengklik simbol kunci, menggantikan indikator yang dicadangkan sebelumnya untuk menonaktifkan kunci.
Sementara untuk Chrome 80 (dijangka pada 4 Februari) skema penyekat akan digunakan untuk fail audio dan video, yang melibatkan penggantian automatik dari http: // ke https: // yang akan tetap berfungsi jika sumber masalah juga tersedia melalui HTTPS.
Gambar akan terus dimuat tidak berubah, tetapi sekiranya memuat turun melalui laman http: // di https: // untuk keseluruhan halaman, petunjuk sambungan tidak selamat akan dimulakan. Untuk penggantian automatik dengan gambar https atau blok, pembangun laman web dapat menggunakan sifat CSP yang dikemas kini-tidak selamat-dan-blok-semua-kandungan-campuran.
Pelancaran Chrome 81, dijadualkan pada 17 Mac, akan menggunakan AutoCorrect dari http: // hingga https: // untuk muat turun gambar campuran.
Sebagai tambahan, Google mengumumkan penyatuan ke dalam salah satu versi penyemak imbas Chome seterusnya, komponen baru dari Pemeriksaan Kata Laluan, sebelum ini dikembangkan sebagai pemalam luaran.
Integrasi akan membawa kepada penampilan dalam pengurus kata laluan sepenuh masa Alat Chrome untuk menganalisis kebolehpercayaan kata laluan yang digunakan oleh pengguna. Apabila anda cuba memasuki mana-mana laman web, nama pengguna dan kata laluan akan disahkan berdasarkan pangkalan data akaun yang disusupi dengan peringatan sekiranya terdapat masalah.
Pengesahan dilakukan pada pangkalan data yang merangkumi lebih dari 4 bilion akaun yang dikompromikan yang muncul dalam kebocoran pangkalan data pengguna. Amaran juga akan ditunjukkan ketika cuba menggunakan kata laluan sepele seperti "abc123" (statistik Google. 23% orang Amerika menggunakan kata laluan ini), atau ketika mereka menggunakan kata laluan yang sama di beberapa laman web.
Untuk menjaga kerahsiaan, ketika mengakses API luaran, hanya dua bait pertama hash yang dipindahkan dari sambungan dari log masuk dan kata laluan (algoritma Argon2 digunakan untuk hash). Hash penuh disulitkan dengan kunci yang dihasilkan pengguna.
Hash asli dalam pangkalan data Google juga disulitkan dan hanya dua bait pertama hash yang tersisa untuk diindeks.
Untuk mencegah penentuan kandungan pangkalan data akaun yang dikompromikan dengan menghitung dengan awalan rawak, data yang dikembalikan dienkripsi relatif dengan kunci yang dihasilkan berdasarkan pautan masuk dan kata laluan yang disahkan.
Fuente: https://security.googleblog.com