Компания Google подтвердила, что последние версии платформы Chromium будут
защищать от "mixed scripting" уязвимостей, которые могут скрываться в безопасных
http (https) страницах.
Члены команды безопасности Google Chrome Крис Эванс и Том Сепез заявили в
блоге, что уязвимости могут возникнуть из-за пробела между шифрованием в
https-страницах и его отсутствием во встроенных в нее компонентах. В некоторых
случаях страница может использовать безопасное соединение для шифрования
информации, в то время как компонент может использовать небезопасное соединение.
Данные, переходящие от компонента и к нему, могут быть перехвачены в результате
MitM-атаки.
"Злоумышленник, совершающий MitM-атаку (некто, находящийся в той же
беспроводной сети), обычно может перехватить http загрузку ресурсов и получить
полный доступ к сайту, загружающему ресурс", - сообщили исследователи. "Часто
это настолько же плохо, как если бы страница и вовсе не использовала https".
Google обновит Chromium с целью изменить адресную строку для рискованных
страниц, чтобы обеспечить защиту от mixed scripting и менее опасных "mixed
display" уязвимостей, которые позволяют злоумышленнику использовать небезопасный
скрипт для изменения внешнего вида страниц.
Новые иконки в браузерной строке будут уведомлять пользователей при
обнаружении на сайте возможных mixed scripting уязвимостей. Уязвимости будут
отмечены ярко-красным цветом (зачеркиванием) в случае mixed script проблем и
бледно-серым - в случае с mixed display уязвимостями.
Новая версия Chromium будет также по умолчанию блокировать скрипты на
уязвимых сайтах и отображать строку, позволяющую пользователю перезагрузить
страницу без скриптов.
Функция будет доступна для Chromium 14.0.785.0 и более поздних выпусков.
