Google Chrome
Google đã cảnh báo về sự thay đổi trong cách tiếp cận xử lý nội dung hỗn hợp trên các trang được mở qua HTTPS. Trước đây, liệu có thành phần nào trên các trang được mở bằng HTTPS được tải mà không mã hóa hay không (sử dụng giao thức http://), một dấu nhắc đặc biệt được hiển thị.
Bây giờ, đối với các phiên bản tiếp theo của trình duyệt, người ta đã quyết định chặn tải các tài nguyên này mặc định. Do đó, các trang được mở qua “https://” sẽ được đảm bảo chỉ chứa các tài nguyên được tải qua kênh liên lạc an toàn.
Người ta quan sát thấy rằng hiện tại người dùng Chrome mở hơn 90% trang web sử dụng HTTPS. Sự hiện diện của các phần chèn được tải xuống mà không mã hóa sẽ tạo ra mối đe dọa vi phạm bảo mật thông qua việc sửa đổi nội dung không an toàn khi có quyền kiểm soát kênh liên lạc (ví dụ: khi kết nối qua Wi-Fi mở).
Chỉ báo nội dung hỗn hợp được coi là không hiệu quả và gây hiểu lầm, vì nó không đưa ra đánh giá rõ ràng về tính bảo mật của trang.
Hiện nay, các loại nội dung hỗn hợp nguy hiểm nhất, chẳng hạn như tập lệnh và iframe, đã bị chặn theo mặc định nhưng hình ảnh, tệp âm thanh và video vẫn có thể được tải xuống qua “http://”.
Bằng cách thay thế hình ảnh, kẻ tấn công có thể thay thế các hành động theo dõi của cookie, cố gắng khai thác lỗ hổng trong bộ xử lý hình ảnh hoặc thực hiện hành vi giả mạo bằng cách thay thế thông tin được trình bày trong hình ảnh.
Việc áp dụng lệnh phong tỏa được chia thành nhiều giai đoạn. Trong Chrome 79 (dự kiến vào ngày 10 tháng XNUMX), Một cài đặt mới sẽ xuất hiện sẽ vô hiệu hóa việc chặn các trang web cụ thể.
Cài đặt được chỉ định sẽ được áp dụng cho nội dung hỗn hợp đã bị khóa, chẳng hạn như tập lệnh và iframe, đồng thời sẽ được kích hoạt qua menu xuất hiện khi bạn nhấp vào biểu tượng khóa, thay thế cờ được đề xuất trước đó để tắt tính năng chặn.
Trong khi đối với Chrome 80 (dự kiến vào ngày 4 tháng XNUMX) sơ đồ khóa sẽ được sử dụng cho các tệp âm thanh và video, bao gồm việc tự động thay thế http:// thành https://, điều này sẽ giúp nó tiếp tục hoạt động nếu tài nguyên có vấn đề cũng có sẵn qua HTTPS.
Hình ảnh sẽ tiếp tục tải lên mà không thay đổi, nhưng trong trường hợp tải xuống qua http:// trên các trang https:// cho toàn bộ trang, chỉ báo kết nối không an toàn sẽ được bắt đầu. Để tự động thay thế bằng https hoặc chặn hình ảnh, nhà phát triển trang web sẽ có thể sử dụng các thuộc tính CSP cập nhật-không an toàn-yêu cầu và chặn tất cả nội dung hỗn hợp.
Việc phát hành Chrome 81, dự kiến vào ngày 17 tháng XNUMX, sẽ sử dụng tính năng Tự động sửa lỗi từ http:// đến https:// để tải xuống hình ảnh hỗn hợp.
Ngoài ra, Google đã công bố tích hợp vào một trong các phiên bản tiếp theo của trình duyệt Chome, một thành phần mới của Kiểm tra mật khẩu, trước đây được phát triển như một plugin bên ngoài.
Việc tích hợp sẽ dẫn đến sự xuất hiện trong trình quản lý mật khẩu toàn thời gian từ công cụ Chrome để phân tích độ tin cậy của mật khẩu được sử dụng bởi người dùng. Khi bạn cố gắng đăng nhập vào bất kỳ trang web nào, tên người dùng và mật khẩu sẽ được kiểm tra dựa trên cơ sở dữ liệu tài khoản bị xâm phạm kèm theo cảnh báo trong trường hợp có sự cố.
Việc xác thực được thực hiện trên cơ sở dữ liệu bao gồm hơn 4 tỷ tài khoản bị xâm phạm xảy ra do rò rỉ cơ sở dữ liệu người dùng. Cảnh báo cũng sẽ được hiển thị khi cố gắng sử dụng các mật khẩu tầm thường như "abc123" (Google thống kê 23% người Mỹ sử dụng các mật khẩu này) hoặc khi sử dụng cùng một mật khẩu trên nhiều trang web.
Để bảo mật, khi truy cập API bên ngoài, chỉ hai byte đầu tiên của hàm băm kết nối được chuyển từ thông tin đăng nhập và mật khẩu (thuật toán Argon2 được sử dụng cho hàm băm). Toàn bộ hàm băm được mã hóa bằng khóa do người dùng tạo.
Các hàm băm ban đầu trong cơ sở dữ liệu của Google cũng được mã hóa bổ sung và chỉ còn lại hai byte đầu tiên của hàm băm để lập chỉ mục.
Để bảo vệ khỏi việc xác định nội dung cơ sở dữ liệu của các tài khoản bị xâm nhập bằng cách liệt kê các tiền tố ngẫu nhiên, dữ liệu trả về sẽ được mã hóa dựa trên khóa được tạo dựa trên liên kết mật khẩu và đăng nhập đã được xác minh.
Fuente: https://security.googleblog.com