Google Chrome
Google, karma içeriği işleme yaklaşımında bir değişiklik konusunda uyardı HTTPS ile açılan sayfalarda. Önceden, açık sayfalarda HTTPS'nin şifrelenmeden yüklendiği bileşenler varsa (http: // protokolünü kullanarak), özel bir komut istemi görüntülendi.
Şimdi, tarayıcının sonraki sürümleri için bu kaynakların yüklenmesinin engellenmesine karar verildi. varsayılan. Böylelikle "https: //" üzerinden açılan sayfaların sadece güvenli bir iletişim kanalı üzerinden yüklenen kaynakları içermesi sağlanacaktır.
Şu anda Chrome kullanıcılarının sitelerin% 90'ından fazlasını HTTPS kullanarak açtıkları görülüyor. Şifreleme olmadan indirilen eklerin varlığı, iletişim kanalı üzerinde kontrol varlığında (örneğin, açık Wi-Fi üzerinden bağlanırken) güvensiz içeriğin değiştirilmesi yoluyla bir güvenlik ihlali tehdidi oluşturur.
Karışık içerik göstergesi etkisiz ve yanıltıcı olarak kabul edilir, çünkü sayfanın güvenliği konusunda kesin bir değerlendirme sunmuyor.
Şu anda, komut dosyaları ve iframe'ler gibi en tehlikeli karma içerik türleri zaten engellenmiştir varsayılan olarak, ancak görüntüler, ses dosyaları ve videolar yine de “http: //” aracılığıyla indirilebilir.
Saldırgan, görüntüleri değiştirerek çerez izleme eylemlerinin yerine geçebilir, görüntü işlemcilerindeki güvenlik açıklarından yararlanmaya çalışabilir veya görüntüde sunulan bilgilerin yerine bir sahtekarlık yapabilir.
Ablukanın tanıtımı birkaç aşamaya ayrılmıştır. Chrome 79'da (10 Aralık'ta yapılması planlanıyor), Belirli sitelerin engellenmesini devre dışı bırakacak yeni bir ayar görünecektir.
Belirtilen ayarlar, komut dosyaları ve iç çerçeveler gibi zaten engellenmiş olan karma içeriğe uygulanacak ve engellemeyi devre dışı bırakmak için önceden önerilen göstergenin yerine kilit sembolüne tıkladığınızda beliren menü aracılığıyla etkinleştirilecektir.
Chrome 80 için ise (4 Şubat'ta bekleniyor) ses ve video dosyaları için bir kilitleme şeması kullanılacaktır, sorun kaynağı HTTPS aracılığıyla da mevcutsa, http: // 'den https: //' e otomatik değiştirmeyi içeren, bu da çalışmaya devam etmesini sağlar.
Resimler değişmeden yüklenmeye devam edecek, ancak tüm sayfa için https: // sayfalarında http: // üzerinden indirme yapılması durumunda, güvenli olmayan bir bağlantı göstergesi başlatılacaktır. Https veya blok resimlerle otomatik değiştirme için site geliştiricileri, güncellenmiş güvenli olmayan istekleri kullanabilir ve tüm içeriği engelle karışık CSP özelliklerini kullanabilecektir.
Chrome 81'in piyasaya sürülmesi, 17 Mart için planlandı, karma resim indirmeleri için http: //'den https: //'ye Otomatik Düzelt'i kullanacaktır.
Ayrıca Google duyurdu Chome tarayıcısının sonraki sürümlerinden birine entegrasyon, yeni bir bileşen Şifre Kontrolü, önceden harici bir eklenti olarak geliştirildi.
Entegrasyon, tam zamanlı şifre yöneticisinde görünmeye yol açacaktır Chrome araçları kullanılan şifrelerin güvenilirliğini analiz etmek kullanıcı tarafından. Herhangi bir siteye girmeye çalıştığınızda, kullanıcı adı ve şifre, sorun olması durumunda bir uyarı ile güvenliği ihlal edilmiş hesapların veritabanına karşı doğrulanacaktır.
Doğrulama, güvenliği ihlal edilmiş 4 milyardan fazla hesabı kapsayan bir veritabanı üzerinde gerçekleştirilir. kullanıcı veritabanları sızıntılarında sunulan. "Abc123" (Google istatistikleri Amerikalıların% 23'ü bu şifreleri kullanıyor) gibi önemsiz şifreleri kullanmaya çalışırken veya birden fazla sitede aynı şifreyi kullandıklarında da bir uyarı görüntülenecektir.
Gizliliği korumak için, harici API'ye erişilirken, giriş ve paroladan bağlantıdan hash'in yalnızca ilk iki baytı aktarılır (karma için Argon2 algoritması kullanılır). Tam özet, kullanıcı tarafından oluşturulan bir anahtarla şifrelenir.
Google veritabanındaki orijinal karmalar da ek olarak şifrelenir ve karmanın yalnızca ilk iki baytı indeksleme için kalır.
Rastgele öneklerle numaralandırarak tehlikeye atılan hesaplar veritabanının içeriğinin belirlenmesine karşı korunmak için, döndürülen veriler, doğrulanmış oturum açma ve parola bağlantısına dayalı olarak oluşturulan anahtara göre şifrelenir.
kaynak: https://security.googleblog.com