Компания Google подтвердила, что последние версии платформы Chromium будут
защищать от "mixed scripting" уязвимостей, которые могут скрываться в безопасных
http (https) страницах.

Члены команды безопасности Google Chrome Крис Эванс и Том Сепез заявили в

блоге
, что уязвимости могут возникнуть из-за пробела между шифрованием в
https-страницах и его отсутствием во встроенных в нее компонентах. В некоторых
случаях страница может использовать безопасное соединение для шифрования
информации, в то время как компонент может использовать небезопасное соединение.
Данные, переходящие от компонента и к нему, могут быть перехвачены в результате
MitM-атаки.

"Злоумышленник, совершающий MitM-атаку (некто, находящийся в той же
беспроводной сети), обычно может перехватить http загрузку ресурсов и получить
полный доступ к сайту, загружающему ресурс", — сообщили исследователи. "Часто
это настолько же плохо, как если бы страница и вовсе не использовала https".

Google обновит Chromium с целью изменить адресную строку для рискованных
страниц, чтобы обеспечить защиту от mixed scripting и менее опасных "mixed
display" уязвимостей, которые позволяют злоумышленнику использовать небезопасный
скрипт для изменения внешнего вида страниц.

Новые иконки в браузерной строке будут уведомлять пользователей при
обнаружении на сайте возможных mixed scripting уязвимостей. Уязвимости будут
отмечены ярко-красным цветом (зачеркиванием) в случае mixed script проблем и
бледно-серым — в случае с mixed display уязвимостями.

Новая версия Chromium будет также по умолчанию блокировать скрипты на
уязвимых сайтах и отображать строку, позволяющую пользователю перезагрузить
страницу без скриптов.

Функция будет доступна для Chromium 14.0.785.0 и более поздних выпусков.



Оставить мнение