Web

Chrome почне блокувати HTTP-ресурси на HTTPS-сторінках і перевіряти надійність паролів

Alex Alex 04 жовтня 2019
Chrome почне блокувати HTTP-ресурси на HTTPS-сторінках і перевіряти надійність паролів

Компанія Google попередила про зміну підходу до обробки змішаного контенту на сторінках, відкритих по HTTPS. Раніше при наявності на відкритих по HTTPS сторінках компонентів, що завантажуються з без шифрування (по протоколу http://), виводився спеціальний індикатор. В майбутньому вирішено блокувати завантаження подібних ресурсів за замовчуванням. Таким чином, сторінки, відкриті по "https://", будуть гарантовано містити тільки ресурси, завантажені по захищеному каналу зв'язку.

Відзначається, що в даний час більше 90% сайтів, відкриваються користувачами Chrome з використанням HTTPS. Наявність вставок, що завантажуються без шифрування, створює загрози порушення безпеки через модифікацію незахищеного контенту при наявності контролю за каналом зв'язку (наприклад, при підключенні через відкриті Wi-Fi). Індикатор змішаного контенту визнаний неефективним і таким, що вводить користувача в оману, так як він не дає однозначної оцінки безпеки сторінки.

В даний час найбільш небезпечні види змішаного контенту, такі як скрипти і iframe, вже блокуються за умовчанням, але зображення, звукові файли і відео, як і раніше можуть бути завантажені з http://. Через підміну зображень атакуючий може підставити відстежують дії користувача Cookie, спробувати експлуатувати уразливості в обробниках зображень або здійснити фальсифікацію, замінивши представлену на зображенні інформацію.

Введення блокування розділене на кілька етапів. У Chrome 79, наміченому на 10 грудня, з'явиться нова настройка, яка дозволить відключити блокування для конкретних сайтів. Зазначена настройка буде застосовуватися для вже блокується змішаного контенту, такого як скрипти і iframe, і викликатися через меню, що випадає при кліці на символ замку, замінивши собою раніше пропонувався індикатор при розблокуванні.

Chrome почне блокувати HTTP-ресурси на HTTPS-сторінках і перевіряти надійність паролівУ Chrome 80, який очікується 4 лютого, буде застосована м'яка схема блокування звукових і відео файлів, що має на увазі автоматичну заміну в посиланнях http:// на https://, що дозволить зберегти працездатність, якщо проблемний ресурс також доступний по HTTPS. Зображення продовжать завантажуватися без змін, але в разі завантаження по http:// на станицях https:// для всієї сторінки почне виводиться індикатор незахищеного з'єднання. Для автозаміни на https або блокування зображень розробники сайтів зможуть використовувати CSP-властивості upgrade-insecure-requests і block-all-mixed-content. У випуску Chrome 81, запланованому на 17 березня, при змішаній завантаженні зображень буде застосована автозамена на http:// на https://.

Chrome почне блокувати HTTP-ресурси на HTTPS-сторінках і перевіряти надійність паролів

Крім того, компанія Google оголосила про інтеграцію в один з наступних випусків браузера Chome нового компонента Password Checkup, раніше розвивалося у вигляді зовнішнього доповнення. Інтеграція призведе до появи в штатному менеджері паролів Chrome засобів для аналізу надійності використовуваних користувачем паролів. При спробі входу на будь-який сайт буде виконуватися перевірка логіна і пароля по базі скомпрометованих облікових записів з виведенням попередження в разі виявлення проблем. Перевірка здійснюється по базі, яка охоплює більше 4 мільярдів скомпрометованих акаунтів, які фігурували в витоках користувацьких баз. Попередження також буде виводитися при спробі використання тривіальних паролів, таких як "abc123" (за статистикою Google 23% американців використовують подібні паролі), або при використанні одного і того ж пароля на декількох сайтах.

Для збереження конфіденційності при зверненні до зовнішнього API передається лише перші два байта хеша від зв'язки з логіна і пароля (для хешування використовується алгоритм Argon2). Повний хеш шифрується ключем, що генерується на стороні користувача. Вихідні хеші в базі Google також додатково шифруються і залишаються для індексації тільки перші два байта хеша. Кінцева звірка хеш, що підпадають під переданий багатобайтових префікс, виробляється на стороні користувача з використанням криптографічного техніки "засліплення", при якій жодна зі сторін не знає вміст перевіряються даних. Для захисту від визначення вмісту бази скомпрометованих облікових записів шляхом перебору із запитом довільних префіксів, що віддаються дані шифруються в прив'язці до ключу, згенеровані на основі перевіряється зв'язки логіна і пароля.

Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Війти / Зареєструватися