Versionet e ardhshme të Google Chrome do të fillojnë të bllokojnë burimet HTTP në faqet HTTPS

Darkcrizt

Minuta 4

Google Chrome

Google Chrome

Google ka paralajmëruar një ndryshim në qasjen për trajtimin e përmbajtjes së përzier në faqet e hapura përmes HTTPS. Më parë, nëse do të kishte përbërës në faqet e hapura me HTTPS të ngarkuara pa enkriptim (duke përdorur protokollin http: //), u shfaq një kërkesë e veçantë.

Tani, për versionet e ardhshme të shfletuesit, u vendos që të bllokohet ngarkimi i këtyre burimeve parazgjedhur Prandaj, do të sigurohet që faqet e hapura përmes "https: //" të përmbajnë vetëm burime të ngarkuara përmes një kanali të sigurt komunikimi.

Shtë vërejtur që aktualisht përdoruesit e Chrome hapin më shumë se 90% të faqeve duke përdorur HTTPS. Prania e inserteve të shkarkuara pa enkriptim krijon një kërcënim të prishjes së sigurisë përmes modifikimit të përmbajtjes së pasigurt në prani të kontrollit mbi kanalin e komunikimit (për shembull, kur lidheni përmes Wi-Fi të hapur).

Treguesi i përmbajtjes së përzier njihet si joefektiv dhe çorientues, pasi nuk ofron një vlerësim të qartë të sigurisë së faqes.

Aktualisht, llojet më të rrezikshme të përmbajtjes së përzier, si skripte dhe iframe, janë bllokuar tashmë si parazgjedhje, por imazhet, skedarët e zërit dhe videot mund të shkarkohen përsëri përmes "http: //".

Duke zëvendësuar imazhet, sulmuesi mund të zëvendësojë veprimet e ndjekjes së cookie-t, të përpiqet të shfrytëzojë dobësitë në përpunuesit e imazheve ose të kryejë një falsifikim, duke zëvendësuar informacionin e paraqitur në imazh.

Futja e bllokadës është e ndarë në disa faza. Në Chrome 79 (e cila është planifikuar për 10 dhjetor), Do të shfaqet një cilësim i ri që do të çaktivizojë bllokimin e faqeve specifike.

Cilësimet e specifikuara do të zbatohen në përmbajtjen e përzier tashmë të bllokuar, siç janë skriptet dhe iframe dhe do të aktivizohen përmes menusë që shfaqet kur klikoni në simbolin e bllokimit, duke zëvendësuar treguesin e propozuar më parë për të çaktivizuar bllokimin.

Ndërsa për Chrome 80 (pritet më 4 shkurt) do të përdoret një skemë bllokimi për skedarët audio dhe video, e cila përfshin zëvendësimin automatik nga http: // në https: // gjë që do ta mbajë atë në funksion nëse burimi i problemit është gjithashtu i disponueshëm përmes HTTPS.

Imazhet do të vazhdojnë të ngarkohen të pandryshuara, por në rast të shkarkimit përmes http: // në faqet https: // për të gjithë faqen, do të iniciohet një tregues i një lidhjeje të pasigurt. Për zëvendësimin automatik me https ose bllokimin e imazheve, zhvilluesit e faqeve do të jenë në gjendje të përdorin vetitë e CSP të azhurnuara, të pasigurta dhe të bllokuara për të gjitha përmbajtjet.

Lëshimi i Chrome 81, planifikuar për në 17 Mars, do të përdorë Korrigjimin automatik nga http: // në https: // për shkarkime të imazheve të përziera.

google-password-check-check-chrome-extension

Përveç kësaj, Google njoftoi integrimi në një nga versionet e ardhshëm të shfletuesit Chome, një përbërës i ri i Kontrollimi i fjalëkalimit, i zhvilluar më parë si një shtojcë e jashtme.

Integrimi do të çojë në paraqitjen në menaxherin e fjalëkalimit me kohë të plotë Vegla kromi për të analizuar besueshmërinë e fjalëkalimeve të përdorura nga përdoruesi. Kur përpiqeni të futni ndonjë sit, emri i përdoruesit dhe fjalëkalimi do të verifikohen në bazën e të dhënave të llogarive të komprometuara me një paralajmërim në rast të problemeve.

Vlerësimi bëhet në një bazë të dhënash që mbulon më shumë se 4 miliard llogari të kompromentuara që paraqiten në rrjedhjet e bazave të të dhënave të përdoruesve. Një paralajmërim do të shfaqet gjithashtu kur përpiqeni të përdorni fjalëkalime të parëndësishme të tilla si "abc123" (statistikat e Google 23% e amerikanëve përdorin këto fjalëkalime), ose kur ata përdorin të njëjtin fjalëkalim në shumë faqe.

Për të ruajtur konfidencialitetin, gjatë hyrjes në API të jashtëm, vetëm dy bajtët e parë të hash transferohen nga lidhja nga hyrja dhe fjalëkalimi (algoritmi Argon2 përdoret për hash). Hasha i plotë është i koduar me një çelës të krijuar nga përdoruesi.

Hashet origjinalë në bazën e të dhënave të Google janë gjithashtu të kriptuara dhe vetëm dy bajtët e parë të hashit mbeten për indeksim.

Për t'u mbrojtur nga përcaktimi i përmbajtjes së bazës së të dhënave të llogarive të komprometuara duke numëruar me parashtesa të rastit, të dhënat e kthyera kriptohen në lidhje me çelësin e gjeneruar bazuar në lidhjen e verifikuar të hyrjes dhe fjalëkalimit.

Fuente: https://security.googleblog.com


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.