Biztonságosabb űrlapkezelést hoz a Chrome
Új, biztonsági szempontból jelentős fejlesztés kerül be a Chrome webböngésző októberben érkező verziójába.
Újabb biztonsági funkció beépítésével igyekszik a Google elejét venni annak, hogy a Chrome webböngésző használata során a felhasználók adataihoz hozzáférhessenek illetéktelenek - derül ki a Chromium Blog posztjából. Az októberben megjelenő M86-os verziótól kezdődően a böngésző lényegesen hangsúlyosabban figyelmezteti a felhasználót arra, ha úgynevezett "mixed form" űrlapon keresztül próbál elküldeni adatokat - ezek az űrlapok tipikusan olyan, HTTPS oldalakon elhelyezett szövegbeviteli mezőket tartalmaznak, melyeket valójában HTTP kapcsolaton keresztül küld el a rendszer.
Az így elküldött, jellemzően szenzitív személyes adatokat tartalmazó rekordokat könnyűszerrel megszerezhetik illetéktelenek, nem véletlen, hogy a modern adathalász támadások egyik alapját adják a mixed formok, melyeken keresztül a felhasználó egy látszólagosan biztonságosnak tűnő oldalon megadott adatait szerzik meg, térítik el vagy módosítják tömegesen.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Az októberi kiadású Chrome ennek elkerülése érdekében többlépcsős figyelmeztetési rendszert vezet be a nem biztonságos űrlapok használatakor. Így amikor a felhasználó egy ilyen űrlapon szöveget gépel, közvetlenül a szöveg alatt megjelenik egy figyelmeztető üzenet, hogy az űrlap nem biztonságos, illetve az automatikus űrlapkitöltőt a rendszer kikapcsolta (a Chrome jelszókezelője ettől függetlenül aktív marad).
Ha a felhasználó a figyelmeztetés ellenére elküldené az űrlap tartalmát, egy újabb figyelmeztetést kap, mely arra hívja fel a figyelmet, hogy az adatok nem biztonságos csatornán kerülnek továbbításra. Az űrlap tartalma ezt követően csak további megerősítés után lesz ténylegesen elküldve. A Chrome a HTTPS oldalakon elhelyezett nem biztonságos űrlapokra eddig is próbálta felhívni a figyelmet, az URL előtt található, HTTPS kapcsolatot jelző ikon kikapcsolásával, ám a Google szerint a felhasználók számára ez nem bizonyult kellően egyértelmű jelzésnek.