谷歌瀏覽器
Google已警告處理混合內容的方法將發生變化 通過HTTPS打開的頁面上。 之前, 如果打開的頁面上有未加載HTTPS且未加密的組件 (使用http://協議),將顯示一個特殊提示。
現在,對於下一版本的瀏覽器,已決定阻止這些資源的加載 默認。 因此,將確保通過“ https://”打開的頁面僅包含通過安全通信通道加載的資源。
據觀察,當前Chrome用戶使用HTTPS打開了90%以上的網站。 如果在不控制通訊信道的情況下(例如,通過開放式Wi-Fi連接時),通過修改不安全的內容,存在未經加密下載的插入內容會構成安全隱患。
混合內容指標被認為是無效和誤導的, 因為它不會提供對頁面安全性的明確評估。
目前, 最危險的混合內容類型(例如腳本和iframe)已被阻止 默認情況下,但是仍然可以通過“ http://”下載圖像,聲音文件和視頻。
通過替換圖像,攻擊者可以替換cookie跟踪動作,嘗試利用圖像處理器中的漏洞或進行偽造,從而替換圖像中顯示的信息。
封鎖的實施分為幾個階段. 在Chrome 79中 (計劃於10月XNUMX日), 將出現一個新設置,該設置將禁用對特定站點的阻止。
指定的設置將應用於已被阻止的混合內容(例如腳本和iframe),並通過單擊鎖定符號時出現的菜單激活,替換先前建議的指示器以禁用鎖定。
對於Chrome 80 (預計4月XNUMX日) 鎖定方案將用於音頻和視頻文件,其中涉及從http://到https://的自動替換,如果問題資源也可以通過HTTPS獲得,它將保持其正常工作。
圖片將繼續不變地上傳, 但如果通過http://在https://頁面上下載整個頁面,則會啟動不安全連接的指示。 為了自動替換為https或阻止圖像,站點開發人員將能夠使用更新的,不安全的請求和阻止所有內容混合的CSP屬性。
Chrome 81的發布, 定於17月XNUMX日 將使用從http://到https://的AutoCorrect進行混合圖像下載。
此外,Google宣布 集成到Chome瀏覽器的下一版本中,該版本是Chome瀏覽器的新組件 密碼檢查 以前是作為外部插件開發的。
集成將導致出現在全職密碼管理器中 Chrome工具 分析所使用密碼的可靠性 由用戶。 當您嘗試進入任何站點時,用戶名和密碼將針對受到破壞的帳戶的數據庫進行驗證,並在出現問題時發出警告。
驗證是在一個數據庫中進行的,該數據庫涵蓋了超過4億個受害帳戶 出現在用戶數據庫洩漏中。 當嘗試使用瑣碎的密碼(例如“ abc123”)(谷歌統計數據中有23%的美國人使用這些密碼)時,或者在多個網站上使用相同的密碼時,也會顯示警告。
為了保持機密性,在訪問外部API時,僅從登錄名和密碼的連接中傳輸哈希的前兩個字節(哈希使用Argon2算法)。 完整的哈希使用用戶生成的密鑰進行加密。
Google數據庫中的原始哈希也被額外加密,並且僅保留哈希的前兩個字節以進行索引。
為了防止通過隨機前綴枚舉來確定受損帳戶數據庫的內容,基於已驗證的登錄名和密碼鏈接,相對於生成的密鑰對返回的數據進行加密。
來源: https://security.googleblog.com