Google Chrome
Google a avertizat asupra unei schimbări de abordare a gestionării conținutului mixt pe paginile deschise prin HTTPS. Anterior, dacă existau componente pe paginile deschise cu HTTPS încărcat fără criptare (folosind protocolul http: //), a fost afișat un prompt special.
Acum, pentru următoarele versiuni ale browserului, sa decis blocarea încărcării acestor resurse Mod implicit. Prin urmare, se va asigura că paginile deschise prin „https: //” conțin doar resurse încărcate printr-un canal de comunicare securizat.
Se observă că în prezent utilizatorii Chrome deschid mai mult de 90% din site-uri folosind HTTPS. Prezența inserțiilor descărcate fără criptare creează o amenințare de încălcare a securității prin modificarea conținutului nesigur în prezența controlului asupra canalului de comunicații (de exemplu, atunci când vă conectați prin Wi-Fi deschis).
Indicatorul de conținut mixt este recunoscut ca ineficient și înșelător, deoarece nu oferă o evaluare fără echivoc a securității paginii.
În prezent, cele mai periculoase tipuri de conținut mixt, cum ar fi scripturi și iframe, sunt deja blocate în mod implicit, dar imaginile, fișierele audio și videoclipurile pot fi descărcate în continuare prin „http: //”.
Prin înlocuirea imaginilor, atacatorul poate înlocui acțiunile de urmărire a cookie-urilor, poate încerca să exploateze vulnerabilitățile din procesoarele de imagine sau să comită o falsificare, înlocuind informațiile prezentate în imagine.
Introducerea blocadei este împărțită în mai multe etape. În Chrome 79 (care este programat pentru 10 decembrie), Va apărea o nouă setare care va dezactiva blocarea anumitor site-uri.
Setările specificate vor fi aplicate conținutului mixt deja blocat, cum ar fi scripturi și iframe și vor fi activate prin meniul care apare atunci când faceți clic pe simbolul de blocare, înlocuind indicatorul propus anterior pentru a dezactiva blocarea.
În timp ce pentru Chrome 80 (așteptat pe 4 februarie) o schemă de blocare va fi utilizată pentru fișierele audio și video, care implică înlocuirea automată de la http: // la https: //, care va continua să funcționeze dacă resursa problemă este disponibilă și prin HTTPS.
Imaginile vor continua să se încarce neschimbate, dar în cazul descărcării prin http: // pe paginile https: // pentru întreaga pagină, va fi inițiat un indicator al unei conexiuni nesigure. Pentru înlocuirea automată cu imagini https sau bloc, dezvoltatorii de site-uri vor putea utiliza proprietăți CSP actualizate-nesecurizate-și-blocate-toate-conținutul.
Lansarea Chrome 81, programat pentru 17 martie va folosi AutoCorrect de la http: // la https: // pentru descărcări de imagini mixte.
În plus, a anunțat Google integrare într-una dintre următoarele versiuni ale browserului Chome, o nouă componentă a Verificare parolă, dezvoltat anterior ca un plugin extern.
Integrarea va duce la apariția în managerul de parole cu normă întreagă Instrumente Chrome pentru a analiza fiabilitatea parolelor utilizate de către utilizator. Când încercați să intrați pe orice site, numele de utilizator și parola vor fi verificate în baza de date a conturilor compromise, cu un avertisment în caz de probleme.
Validarea se efectuează pe o bază de date care acoperă peste 4 miliarde de conturi compromise care sunt prezentate în scurgeri de baze de date ale utilizatorilor. De asemenea, va fi afișat un avertisment atunci când încercați să utilizați parole banale, cum ar fi „abc123” (statisticile Google 23% dintre americani folosesc aceste parole), sau când folosesc aceeași parolă pe mai multe site-uri.
Pentru a păstra confidențialitatea, atunci când accesați API-ul extern, doar primii doi octeți ai hashului sunt transferați din conexiune din autentificare și parolă (algoritmul Argon2 este utilizat pentru hash). Hash-ul complet este criptat cu o cheie generată de utilizator.
Hash-urile originale din baza de date Google sunt, de asemenea, criptate suplimentar și doar primii doi octeți ai hash-ului rămân pentru indexare.
Pentru a ne preveni conținutul bazei de date de conturi compromise prin enumerarea cu prefixe aleatorii, datele returnate sunt criptate în raport cu cheia generată pe baza legăturii de autentificare și parolă verificate.
Fuente: https://security.googleblog.com