The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome 86 появится защита от небезопасной отправки web-форм

18.08.2020 09:05

Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения:

  • Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь также будет учитываться применение шифрования при отправке данных обработчику формы. Работа менеджера паролей, позволяющего использовать надёжные и уникальные пароли, для смешанных форм аутентификации не будет отключена, так как риск от использования ненадёжного пароля и повторного применения паролей на разных сайтах превышает риск потенциального перехвата трафика.
  • При начале ввода в смешанных формах будет выводиться предупреждение, информирующее пользователя об отправке заполненных данных через незашифрованный канал связи.
  • При попытке отправки смешанной формы будет выводиться отдельная страница с уведомлением о потенциальном риске передачи данных через незашифрованный канал связи. В прошлых версиях для индикации смешанных форм использовался индикатор замка в адресной строке, но подобная пометка была не очевидной для пользователей и эффективно не отражала возникающие риски.



  1. Главная ссылка к новости (https://blog.chromium.org/2020...)
  2. OpenNews: В Chrome добавлена поддержка отложенной загрузки iframe-блоков
  3. OpenNews: Выпуск Chrome OS 84
  4. OpenNews: Релиз Chrome 84
  5. OpenNews: В Chrome 86 будет по умолчанию включено контекстное меню для возвращения полного URL
  6. OpenNews: В Chrome предложен новый интерфейс PDF-просмотрщика и добавлена поддержка AVIF
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53561-chrome
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Иваня (?), 09:11, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    норм
     
  • 1.2, Аноним (2), 09:13, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    > Autofill has been turned off.

    Можно ещё диск отформатировать.

     
     
  • 2.10, Аноним (10), 10:43, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если Chrome не привязан к гугло-аккаунту, он время от времени удаляет все сохраненные пароли, и куки заодно. Гугл умеет тонко намекать.
     
     
  • 3.43, трурль (?), 20:37, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Use the fucking Chromium, Luke!
     
  • 3.52, Лентяй (??), 15:04, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хранить пароли в браузере такое себе занятие для этого есть KeePass
     

  • 1.3, Аноним (3), 09:17, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А если форма отправляется через AJAX, тогда как?
     
     
  • 2.40, Аноним (40), 17:26, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    fetch блокиовать или полифил писать
     

  • 1.4, Annms_tmp (?), 09:19, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    Похоже всё-таки придётся перейти с лисы на хром. Это вопрос безопасности и удобства использования. Заметил, многие сайты не полностью функционируют на лисе. Сайты пишут под хром-движки.
     
     
  • 2.5, Аноним (5), 10:01, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какие сайты полностью не функционируют на лисе?
     
     
  • 3.6, Аноним (5), 10:02, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    *не полностью
     
  • 3.9, iPony129412 (?), 10:19, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я в выходные потратил 25 минут, чтобы заказать игрушку 🐴 с ebay.

    20 минут я потратил на то, чтобы зайти в ebay с помощью Firefox. Так и не смог.
    5 минут на установку Chromium, и сам заказ.

     
     
  • 4.41, Аноним (41), 17:31, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Роняшка как всегда брешит.
     
     
  • 5.49, iPony129412 (?), 06:25, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы всё врёте!!!

    Попробуй сам на дефолтным Firefox с чистым профилем.  

     
  • 3.12, Аноним (12), 10:45, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В Firefox не работает ввод показаний электросчётчиков в vostok-electra.ru, при открытии формы она накладывается на другой div и перекрывается другим контентом (в chrome тот див смещается вниз). Чтобы ввести данные приходится в инструментах для web-разработчика убирать лишний div.
     
     
  • 4.24, vitektm (?), 12:26, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    скорее всего рукожопы  vostok-electra.ru
     
     
  • 5.30, rvs2016 (ok), 14:41, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > скорее всего рукожопы  vostok-electra.ru

    Так и во всех остальных-то подобных случаях рукожопы - не разработчики браузеров, а разработчики сайтов.

     
     
  • 6.32, Im banana man (?), 14:59, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Конечного потребителя это не сильно волнует
     
  • 6.34, Annms_tmp (?), 15:41, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В этом и дело. Писатели не хотят тратить время на отладку своих сайтов под другие браузеры.
     
     
  • 7.39, Аноним84701 (ok), 17:04, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В этом и дело. Писатели не хотят тратить время на отладку своих сайтов под другие браузеры.

    Ждем-с появления:
    "This GooleNet™page is best viewed with I̵n̵t̵e̵r̵n̵e̵t̵ ̵E̵x̵p̵l̵o̵r̵e̵r̵ ̵5̵ Google™ Chrome™ 84.0.4147.125 and a display resolution of 8̵0̵0̵x̵6̵0̵0̵ 8192x4320 or higher " ©

     
  • 6.47, Аноним (47), 05:02, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почти, но не во всех. Бывают и баги браузера.

    Вот, например, 5 лет висит:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1220696

     
  • 3.19, Annms_tmp (?), 12:11, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не буду искать. Не нажимаются меню, сноски. Открыл в хроме, всё работает.
     
     
  • 4.42, Аноним (41), 17:36, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а не пробовал писать тупоголовым сайтопейсателям? почему на всех сайтах - нажимаются, а вот у избранных - нет? Уж не потому ли, что в скриптах "иф бравзер.вёршын == фирефукс зен фейл"?
     
     
  • 5.46, _ (??), 22:13, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну и зойчем пейсатели сайтов могут захотеть так сделать? Праильнааааа! Единственная причина в том, что FF - *оно! И они здраво решили не тратить на него время.
     
  • 3.28, Аноним (28), 13:32, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Google reCAPTCHA звереет
     
  • 2.8, Аноним (8), 10:03, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда - ungoogled-chromium уже. Чтобы без лишних компромиссов. Я конечно не сразу привык к тому, что омнибокс НЕ перекидывает в гугель, но всё остальное - шикарно.
     
     
  • 3.11, Аноним (10), 10:44, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Человек под "безопасностью" подразумевает, что его данными должен распоряжаться гугл. Так что не лезьте к нему с приватностью и анонимностью.
     
     
  • 4.16, iPony129412 (?), 11:21, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну безопасность и анонимность - это разные вещи
     
  • 4.20, Annms_tmp (?), 12:16, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может не стоит предполагать, а спросить напрямую?
    Приватность пользователя уже не зависит от браузера. Через кнопки соцсетей "like" "поделиться" на сайтах соберут всю информацию о тебе.
    Если говорить о безопасности браузеров, простой пример, кодеры постоянно ковыряют хром на уязвимости, чтобы получить вознаграждение, а вознаграждения там немалые.
     
     
  • 5.27, 123 (??), 13:14, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать мне? У меня эти кнопки отключены через дополнения. Но вот беда-печаль-огорчение: в Crome эти дополнения серьёзно ограничили, да и дальше ограничивать будут. ( https://www.opennet.dev/opennews/art.shtml?num=50009 )
     
     
  • 6.44, Тот_Самый_Анонимус (?), 21:27, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тугой шоле?
    Сказано же:

    >кодеры постоянно ковыряют хром на уязвимости, чтобы получить вознаграждение

    Как можно не верить, а?

     
  • 3.23, Annms_tmp (?), 12:25, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не пользуюсь сервисами google, кроме gmail. Иногда приходится использовать их поисковик, duckduckgo очень слабый в этом плане. DoH, UBlock и плагин duckduckgo. Да и лисой я пользуюсь только из-за качественного ренда шрифта и плавной прокрутки.
     
  • 3.29, Гуголь (?), 13:34, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >ungoogled-chromium уже.
    >Чтобы без лишних компромиссов

    Нет, этот компромисс - лишний. Используйте Хром, ungoogled мы тоже забаним, когда с Firefox разделаемся.

     
     
  • 4.33, Annms_tmp (?), 15:21, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Гуглу как раз таки и нужны такие проекты, как Firefox, чтобы кивать, мол вон, есть на рынке альтернативы. Мне кажется google платит firefox чтобы проект не загнулся окончательно. "Эффективные менеджеры" это давно пронюхали, проникли в руководство, выгнали основателей, идеологов и энтузиастов, а сами пилят взятки между собой.
     
  • 2.13, Аноним (13), 11:10, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А у хрома есть аппаратное ускорение в лине?
     
     
  • 3.15, iPony129412 (?), 11:17, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У Chrome нет.

    У Chromium от дистрибутивов примерно сравнимый уровень как у Firefox - примерно такая же пионерская глючно экспериментальная штука.

     
     
  • 4.21, Annms_tmp (?), 12:16, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь всё же допилят
     
  • 2.37, Аноним (-), 16:36, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тупо и Жырно аж скушно. Чё нибудь поновее придумай.
     
  • 2.48, КО (?), 06:20, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все эти фичи в лисе давно есть
     

  • 1.7, Аноним (7), 10:03, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какие красавчики, всё топят за безопасность.
     
  • 1.14, nebularia (ok), 11:15, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Chrome 86 появится защита от небезопасной отправки web-форм

    Да уж, защита. Опять за пользователей решают что им делать.

     
     
  • 2.22, iPony129412 (?), 12:24, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да уж, защита. Опять за пользователей решают что им делать.

    И это правильно.

    Как говорил Форд - потребитель сам толком не знает, что ему надо, поэтому надо засаживать ему, иначе так и будет любить лошадь.

     

  • 1.17, wd (?), 11:40, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ок, форма с action='https://...'
    и onsubmit='this.action.replace("https:","http:")'
     
     
  • 2.18, Аноним (18), 11:47, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Запрос уйдет все равно на http. Тут-то хромой его и словит. Как бы не хотелось, но в гугле не дураки сидят.
     
     
  • 3.31, rvs2016 (ok), 14:46, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> ок, форма с action='https://...'
    >> и onsubmit='this.action.replace("https:","http:")'
    >
    >  Запрос уйдет все равно на http. Тут-то хромой его и словит.

    Но зато до отправки запроса Чром не будет мозолить глаза шизофреническими надписями, пугающими юзеров.
    Спасибо, wd, за идею!

     
  • 2.25, имя_ (?), 12:37, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отморожу себе уши маме назло
     
     
  • 3.35, пох. (?), 16:05, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    просто не буду тратиться на дырявую by design ключную инфраструктуру 6ешплатных сертификатов с однодневным сроком годности, или платить деньги чтобы потом узнать что гугль о тебе позаботился, и трехгодичный сертификат действует один год потому что он так взбрендил.

    А твой треп на (открытом и не требующем регистраций, заметим) форуме, конечно же, обязательно-обязательно надо прятать от врагов нации и шпиенов под ковром!

     
  • 2.51, Корец (?), 10:34, 19/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В новости, вроде как, написано, что имеются в виду те формы, которые находятся на страницах, загруженных по https, но отправляющие данные по http. Итак, вопрос: зачем отправлять данные по http, если страница грузится по https?
     

  • 1.26, Аноним (26), 12:47, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, есть некоторые проблемы у Firefox, есть проблемы и у Safari даже с градиентами. Еще больше проблем у EDGE и IE11

    Для себя принял решение создавать свой стиль под каждый броузер, реально достало, типа:
    https://stackoverflow.com/questions/9847580/how-to-detect-safari-chrome-ie-fir

     
  • 1.36, Аноним (36), 16:36, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Из всех позиций плюс только "Отключено автозаполнение форм" Сколько слёз и истерик было в многочисленных багах. Наконец они начали это отключать.
    Не понятно только зачем сначала добавлять предупреждение около поля дабы дать понять юзеру что он отправит нечто небезопасно, а потом на сабмит просто блочить отправку и показывать ещё одну страницу с ошибкой. Какой тогда смысл в красной надписи под полем.
     
  • 1.38, Аноним (36), 16:37, 18/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как это будет работать для HTTPS страницы, на которой по HTTP грузится айфрейм? Будут ли в айфрейме работать формы?
     
     
  • 2.45, Дима (??), 21:45, 18/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На https сайте нельзя открыть http iframe. Обратное ещё возможно, а вот как вы написали запрещено политикой безопасности.
     

  • 1.50, Аноним (50), 09:40, 19/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как же мы раньше жили без этого?? да и вообще без https?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру