Chrome podporuje HTTPS blokováním nezabezpečeného „smíšeného obsahu“

Google byl v posledním desetiletí velkým zastáncem HTTPS a vedl k úspěšnému přijetí. Chrome nyní provádí další vylepšení zabezpečení tím, že ve výchozím nastavení blokuje nezabezpečené http:// podzdroje smíšeného obsahu na stránkách https://.

Podle dnešního Googlu uživatelé 淐hrome nyní tráví více než 90 % svého času procházením na HTTPS na všech hlavních platformách. Stále však existuje problém se zabezpečením všech konfigurací HTTPS, přičemž u některých zabezpečených stránek stále dochází k načítání dílčích zdrojů přes HTTP.

Smíšený obsah, který je stále povolen, zahrnuje obrázky, zvuk a video, i když prohlížeče dnes skripty a prvky iframe ve výchozím nastavení blokují.

Útočník by například mohl manipulovat se smíšeným obrázkem akciového grafu, aby uvedl investory v omyl, nebo vložit sledovací soubor cookie do smíšené zátěže zdrojů. Načítání smíšeného obsahu také vede k matoucímu bezpečnostnímu uživatelskému rozhraní prohlížeče, kde stránka není prezentována ani jako bezpečná, ani jako nezabezpečená, ale někde mezi tím.

Počínaje verzí Chrome 79, která je aktuálně v kanálu pro vývojáře, začne prohlížeč ve výchozím nastavení blokovat veškerý smíšený obsah. Společnost Google postupuje tak, aby minimalizovala jakékoli problémy s úplnou časovou osou níže. Tento proces začíná v prosinci a má skončit s Chrome 81 příští rok.

vChrome 79, vydaný na stabilní kanál v prosinci 2019, představujeme nové nastavení pro odblokování smíšeného obsahu na konkrétních webech. Toto nastavení se použije na smíšené skripty, prvky iframe a další typy obsahu, které Chrome aktuálně ve výchozím nastavení blokuje. Uživatelé mohou toto nastavení přepnout kliknutím na ikonu zámku na jakékoli https:// stránce a kliknutím na Nastavení webu. Tím se nahradí ikona štítu, která se zobrazuje na pravé straně omniboxu a slouží k odblokování smíšeného obsahu v předchozích verzích Chrome pro stolní počítače.Chrome 80, budou kombinované zdroje zvuku a videa automaticky upgradovány na https:// a Chrome je ve výchozím nastavení zablokuje, pokud se nepodaří načíst přes https://. Chrome 80 bude vydán pro kanály předčasného vydání v lednu 2020. Uživatelé mohou odblokovat ovlivněné zdroje zvuku a videa pomocí výše popsaného nastavení. Také vChrome 80, bude stále povoleno načítání smíšených obrázků, ale způsobí, že Chrome bude v omniboxu zobrazovat čip 淣ot Secure. Předpokládáme, že se jedná o přehlednější bezpečnostní uživatelské rozhraní pro uživatele a že bude motivovat weby k migraci svých obrázků na HTTPS. Vývojáři mohou tomuto varování předejít pomocí direktiv upgrade-insecure-requestsorblock-all-mixed-content Security Policy.Chrome 81, smíšené obrázky budou automaticky upgradovány na https:// a Chrome je ve výchozím nastavení zablokuje, pokud se nepodaří načíst přes https://. Chrome 81 bude vydán pro kanály předčasného vydání v únoru 2020.

Šéfredaktor. Zajímají mě detaily společností Google a Alphabet. Tipy/promluva: abner@9to5g.com

Leave a Comment