Google Chrome
Google je opozoril na spremembo pristopa pri ravnanju z mešano vsebino na straneh, odprtih prek HTTPS. Prej če so bile na odprtih straneh komponente s HTTPS, naloženim brez šifriranja (s protokolom http: //) je bil prikazan poseben poziv.
Zdaj je bilo pri naslednjih različicah brskalnika odločeno blokirati nalaganje teh virov privzeto. Zato bo zagotovljeno, da bodo strani, odprte prek "https: //", vsebovale samo vire, naložene prek varnega komunikacijskega kanala.
Opaziti je, da trenutno uporabniki Chroma odprejo več kot 90% spletnih mest s pomočjo HTTPS. Prisotnost vstavkov, prenesenih brez šifriranja, ustvarja nevarnost kršitve varnosti zaradi spreminjanja negotove vsebine ob prisotnosti nadzora nad komunikacijskim kanalom (na primer pri povezovanju prek odprtega Wi-Fi).
Kazalec mešane vsebine je prepoznan kot neučinkovit in zavajajoč, saj ne ponuja nedvoumne ocene varnosti strani.
Trenutno najnevarnejše vrste mešane vsebine, kot so skripti in vstavljeni okviri, so že blokirane privzeto, vendar je slike, zvočne datoteke in videoposnetke še vedno mogoče prenesti prek »http: //«.
Z nadomestitvijo slik lahko napadalec nadomesti dejanja sledenja piškotkom, poskuša izkoristiti ranljivosti v slikovnih procesorjih ali stori ponaredke, tako da nadomesti informacije, predstavljene na sliki.
Uvedba blokade je razdeljena na več stopenj. V Chromu 79 (ki je predviden za 10. december), Pojavila se bo nova nastavitev, ki bo onemogočila blokiranje določenih spletnih mest.
Določene nastavitve bodo uporabljene za mešano vsebino, ki je že blokirana, kot so skripti in vstavljeni okviri, in se bodo aktivirale v meniju, ki se prikaže, ko kliknete simbol za zaklepanje, in zamenjali predhodno predlagani indikator, da onemogočite zaklepanje.
Medtem ko je za Chrome 80 (predvidoma 4. februarja) za avdio in video datoteke bo uporabljena shema zaklepanja, ki vključuje samodejno zamenjavo s http: // na https: //, ki bo še naprej delovala, če bo težavni vir na voljo tudi prek HTTPS.
Slike se bodo še naprej nalagale nespremenjene, toda v primeru nalaganja prek http: // na straneh https: // za celotno stran se sproži indikator negotove povezave. Za samodejno zamenjavo s https ali blokiranjem slik bodo razvijalci spletnih mest lahko uporabljali lastnosti CSP posodobljene-negotove-zahteve-in-blokirane-vse-vsebine.
Uvedba Chroma 81, predvidoma 17. marca, bo uporabil samodejno popravljanje iz http: // v https: // za mešane prenose slik.
Poleg tega je objavil Google integracija v eno od naslednjih različic brskalnika Chome, novo komponento brskalnika Preverjanje gesla, prej razvit kot zunanji vtičnik.
Integracija bo privedla do pojava v upravitelju gesel za polni delovni čas Orodja za Chrome za analizo zanesljivosti uporabljenih gesel uporabnik. Ko poskusite vstopiti na katero koli spletno mesto, se bo uporabniško ime in geslo preverilo v zbirki podatkov ogroženih računov z opozorilom v primeru težav.
Preverjanje velja v zbirki podatkov, ki zajema več kot 4 milijarde ogroženih računov ki so predstavljeni v puščanju uporabniških baz podatkov. Opozorilo bo prikazano tudi pri poskusu uporabe trivialnih gesel, na primer "abc123" (Googlova statistika 23% Američanov uporablja ta gesla), ali kadar isto geslo uporabljajo na več spletnih mestih.
Da bi ohranili zaupnost, se pri dostopu do zunanjega API-ja iz povezave iz uporabniškega imena in gesla preneseta samo prva dva bajta zgoščene (za zgoščevanje se uporablja algoritem Argon2). Celotno zgoščeno besedilo je šifrirano s ključem, ki ga ustvari uporabnik.
Izvirni zgoščeni podatki v Googlovi zbirki podatkov so tudi dodatno šifrirani in za indeksiranje ostaneta samo prva dva bajta zgoščene.
Za zaščito pred določanjem vsebine baze podatkov ogroženih računov z naštevanjem z naključnimi predponami se vrnjeni podatki šifrirajo glede na ustvarjeni ključ na podlagi preverjene povezave za prijavo in geslo.
vir: https://security.googleblog.com