Nasledujúce verzie prehliadača Google Chrome začnú blokovať zdroje HTTP na stránkach HTTPS

Google Chrome

Google Chrome

Google varoval pred zmenou prístupu k zaobchádzaniu so zmiešaným obsahom na stránkach otvorených prostredníctvom protokolu HTTPS. Predtým keby boli na otvorených stránkach komponenty s HTTPS načítaným bez šifrovania (pomocou protokolu http: //) sa zobrazila špeciálna výzva.

Teraz sa pre ďalšie verzie prehľadávača rozhodlo zablokovať načítanie týchto zdrojov predvolené. Preto bude zabezpečené, že stránky otvorené cez „https: //“ obsahujú iba zdroje načítané cez zabezpečený komunikačný kanál.

Zistili sme, že v súčasnosti používatelia prehliadača Chrome otvárajú viac ako 90% webov pomocou protokolu HTTPS. Prítomnosť vložiek stiahnutých bez šifrovania vytvára hrozbu narušenia bezpečnosti úpravou nezabezpečeného obsahu za prítomnosti kontroly nad komunikačným kanálom (napríklad pri pripojení cez otvorené Wi-Fi).

Indikátor zmiešaného obsahu sa považuje za neúčinný a zavádzajúci, pretože neponúka jednoznačné hodnotenie bezpečnosti stránky.

V súčasnej dobe, najnebezpečnejšie typy zmiešaného obsahu, ako sú skripty a rámce iframe, sú už blokované predvolene, ale obrázky, zvukové súbory a videá je možné stále sťahovať cez „http: //“.

Výmenou obrázkov môže útočník nahradiť akcie sledovania súboru cookie, pokúsiť sa zneužiť chyby v procesoroch obrázkov alebo spáchať falšovanie a nahradiť tak informácie zobrazené na obrázku.

Zavedenie blokády je rozdelené do niekoľkých etáp. V Chrome 79 (ktorý je naplánovaný na 10. decembra), Objaví sa nové nastavenie, ktoré zakáže blokovanie konkrétnych webov.

Zadané nastavenia sa použijú na zmiešaný obsah, ktorý je už blokovaný, ako sú skripty a rámce iframe, a budú sa aktivovať prostredníctvom ponuky, ktorá sa zobrazí po kliknutí na symbol zámku, ktorý nahradí predtým navrhovaný indikátor a deaktivuje tak uzamknutie.

Zatiaľ čo pre Chrome 80 (očakáva sa 4. februára) pre zvukové a video súbory sa použije blokovacia schéma, ktorá zahŕňa automatické nahradenie z protokolu http: // na https: //, ktoré ho udrží v činnosti, ak je problémový zdroj k dispozícii aj prostredníctvom protokolu HTTPS.

Obrázky sa budú naďalej nahrávať nezmenené, ale v prípade sťahovania cez http: // na stránkach https: // pre celú stránku sa inicializuje indikátor nezabezpečeného pripojenia. Na automatické nahradenie obrázkami https alebo blokovaním budú vývojári webov môcť používať vlastnosti CSP aktualizované-nezabezpečené-požiadavky a blokované so všetkým obsahom zmiešané.

Uvedenie prehliadača Chrome 81 na trh naplánované na 17. marca, použije automatické opravy z http: // na https: // na sťahovanie zmiešaných obrázkov.

google-heslo-kontrola-chrome-rozšírenie

Google navyše oznámil integrácia do jednej z ďalších verzií prehliadača Chome, nového komponentu Kontrola hesla, predtým vyvinutý ako externý doplnok.

Integrácia povedie k objaveniu sa v správcovi hesiel na plný úväzok Nástroje Chrome analyzovať spoľahlivosť použitých hesiel používateľom. Pri pokuse o vstup na ľubovoľnú stránku bude používateľské meno a heslo overené oproti databáze napadnutých účtov s varovaním v prípade problémov.

Validácia prebieha na databáze, ktorá pokrýva viac ako 4 miliardy napadnutých účtov ktoré sa objavujú v únikoch používateľských databáz. Varovanie sa zobrazí aj pri pokuse o použitie triviálnych hesiel, ako je „abc123“ (podľa štatistík Google tieto heslá používa 23% Američanov), alebo pri použití rovnakého hesla na viacerých stránkach.

Z dôvodu zachovania dôvernosti sa pri prístupe k externému rozhraniu API prenášajú z pripojenia iba prvé dva bajty hodnoty hash z prihlasovacieho mena a hesla (pre hodnotu hash sa používa algoritmus Argon2). Celý hash je šifrovaný pomocou kľúča generovaného používateľom.

Originálne hodnoty hash v databáze Google sú tiež dodatočne šifrované a na indexovanie zostávajú iba prvé dva bajty hodnoty hash.

Aby sa zabránilo určeniu obsahu databázy napadnutých účtov vyčíslením s náhodnými predponami, sú vrátené údaje šifrované vzhľadom na vygenerovaný kľúč na základe overeného odkazu na prihlásenie a heslo.

Fuente: https://security.googleblog.com


Buďte prvý komentár

Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.