гоогле цхроме
Гоогле је упозорио на промену приступа у руковању мешовитим садржајем на страницама отвореним путем ХТТПС-а. Раније, ако је на отвореним страницама било компонената са ХТТПС-ом учитаним без шифровања (користећи хттп: // протокол), приказана је посебна промпта.
Сада је за следеће верзије прегледача одлучено да се блокира учитавање ових ресурса Уобичајено. Стога ће бити осигурано да странице отворене путем „хттпс: //“ садрже само ресурсе учитане преко сигурног комуникационог канала.
Примећује се да тренутно корисници Цхроме-а отварају више од 90% веб локација користећи ХТТПС. Присуство уметака преузетих без шифровања ствара претњу нарушавањем безбедности модификовањем несигурног садржаја у присуству контроле над комуникационим каналом (на пример, приликом повезивања путем отвореног Ви-Фи-ја).
Показатељ мешовитог садржаја препознат је као неефикасан и обмањујући, јер не нуди недвосмислену процену сигурности странице.
Тренутно, најопасније врсте мешовитог садржаја, попут скрипти и ифраме-а, већ су блокиране подразумевано, али слике, звучне датотеке и видео записи и даље могу да се преузму путем „хттп: //“.
Заменом слика, нападач може заменити радње праћења колачића, покушати да искористи рањивости у процесорима слика или изврши фалсификат, замењујући информације представљене на слици.
Увођење блокаде подељено је у неколико фаза. На Цхроме-у 79 (који је заказан за 10. децембар), Појавиће се ново подешавање које ће онемогућити блокирање одређених локација.
Наведена подешавања примењиваће се на мешани садржај који је већ блокиран, попут скрипти и ифраме-а, и активираће се кроз мени који се појављује када кликнете на симбол закључавања, замењујући претходно предложени индикатор за деактивирање блокирања.
Док је за Цхроме 80 (очекује се 4. фебруара) шема закључавања користиће се за аудио и видео датотеке, која укључује аутоматску замену са хттп: // на хттпс: // што ће наставити да функционише ако је ресурс проблема доступан и путем ХТТПС-а.
Слике ће се и даље слати непромењене, али у случају преузимања путем хттп: // на хттпс: // страницама за целу страницу покренуће се индикатор несигурне везе. За аутоматску замену хттпс-ом или блокирањем слика, програмери веб локација ће моћи да користе ажуриране-несигурне-захтеве-и-блокирају-све-садржај-помешане ЦСП особине.
Покретање Цхроме 81, заказано за 17. марта, користиће аутоматску исправку са хттп: // на хттпс: // за мешовита преузимања слика.
Поред тога, Гоогле је објавио интеграција у једну од следећих верзија прегледача Цхоме, нову компоненту Провера лозинке, претходно развијен као спољни додатак.
Интеграција ће довести до појављивања у менаџеру лозинки са пуним радним временом Цхроме алати за анализу поузданости коришћених лозинки од стране корисника. Када покушате да уђете на било коју локацију, корисничко име и лозинка ће се верификовати у бази података угрожених рачуна са упозорењем у случају проблема.
Провера се врши на бази података која покрива више од 4 милијарде угрожених рачуна који су представљени у цурењу корисничких база података. Упозорење ће се приказати и приликом покушаја употребе тривијалних лозинки као што је „абц123“ (Гоогле статистика 23% Американаца користи ове лозинке) или када користе исту лозинку на више веб локација.
Да би се сачувала поверљивост, приликом приступања спољном АПИ-ју, само се прва два бајта хеша преносе са везе из пријаве и лозинке (за хеширање се користи алгоритам Аргон2). Пуно хеширање је шифровано корисничким кључем.
Оригинални хешеви у Гоогле бази података такође су додатно шифровани и само прва два бајта хеша остају за индексирање.
Да би се заштитили од одређивања садржаја базе података угрожених рачуна набрајањем са случајним префиксима, враћени подаци се шифрују у односу на генерисани кључ на основу верификоване везе за пријаву и лозинку.
izvor: https://security.googleblog.com