Google Chrome
Google已警告处理混合内容的方法将发生变化 通过HTTPS打开的页面上。 之前, 如果打开的页面上有未加载HTTPS且未加密的组件 (使用http://协议),将显示一个特殊提示。
现在,对于浏览器的下一版本,决定阻止这些资源的加载 默认。 因此,将确保通过“ https://”打开的页面仅包含通过安全通信通道加载的资源。
据观察,当前Chrome用户使用HTTPS打开了90%以上的网站。 在没有通信通道控制的情况下(例如,通过开放式Wi-Fi连接时),通过下载不加密的插入内容会通过修改不安全的内容而造成违反安全性的威胁。
混合内容指标被认为是无效和误导的, 因为它不会提供对页面安全性的明确评估。
目前, 最危险的混合内容类型(例如脚本和iframe)已被阻止 默认情况下,但是仍然可以通过“ http://”下载图像,声音文件和视频。
通过替换图像,攻击者可以替换cookie跟踪动作,尝试利用图像处理器中的漏洞或进行伪造,从而替换图像中显示的信息。
封锁的实施分为几个阶段. 在Chrome 79上 (计划于10月XNUMX日), 将出现一个新设置,该设置将禁用对特定站点的阻止。
指定的设置将应用于已经被阻止的混合内容(例如脚本和iframe),并通过单击锁定符号时出现的菜单激活,替换先前建议的指示器以禁用锁定。
对于Chrome 80 (预计4月XNUMX日) 音频和视频文件将使用阻止方案,其中涉及从http://到https://的自动替换,如果问题资源也可以通过HTTPS获得,它将保持其正常工作。
图片将继续不变地上传, 但是如果通过http://在https://页面上下载整个页面,则会启动连接不安全的指示。 为了自动替换为https或阻止图像,站点开发人员将能够使用更新的,不安全的请求和阻止所有内容混合的CSP属性。
Chrome 81的发布, 定于17月XNUMX日 将使用从http://到https://的AutoCorrect进行混合图像下载。
此外,Google宣布 集成到Chome浏览器的下一版本中,该版本是Chome浏览器的新组件 密码检查 以前是作为外部插件开发的。
集成将导致出现在全职密码管理器中 Chrome工具 分析所使用密码的可靠性 由用户。 当您尝试进入任何站点时,用户名和密码将针对被盗帐户数据库进行验证,并在出现问题时发出警告。
验证是在一个数据库中进行的,该数据库涵盖了超过4亿个受感染的帐户 出现在用户数据库泄漏中。 当尝试使用琐碎的密码(例如“ abc123”)(谷歌统计数据中有23%的美国人使用这些密码)时,或者在多个网站上使用相同的密码时,也会显示警告。
为了保护机密性,当访问外部API时,仅从登录名和密码的连接中传输哈希的前两个字节(哈希使用Argon2算法)。 完整的哈希使用用户生成的密钥进行加密。
Google数据库中的原始哈希也被额外加密,并且仅保留哈希的前两个字节以进行索引。
为了防止通过随机前缀枚举来确定受损帐户数据库的内容,基于已验证的登录名和密码链接,相对于生成的密钥对返回的数据进行加密。
数据来源: https://security.googleblog.com