Thursday, June 23, 2011

Google Chrome 14 Blok Insecure JavaScript


Chrome 14, hanya tersedia di saluran Dev dan Canary sekarang, menambahkan fitur keamanan yang dapat mempengaruhi banyak situs. Jika Anda mengunjungi sebuah situs SSL yang terdapat beberapa script menggunakan koneksi tak terenkripsi, Chrome akan menolak untuk memuat script .

Chrome 14 Blok Insecure JavaScript
Ketika sebuah situs web dijamin melalui HTTPS, perancang situs web juga harus memastikan bahwa semua script yang digunakan oleh halaman tersebut akan disampaikan dalam cara yang aman yang sama seperti halaman utama itu sendiri. Persyaratan yang sama juga berlaku untuk plugin dan eksternal CSS stylesheet yang digunakan oleh halaman, karena ini memiliki pertimbangan yang sama seperti javascript. Bila ini tidak terjadi (kadang-kadang disebut 'mixed script' situation / situasi 'script campuran'), pengunjung ke situs menjalankan risiko bahwa penyerang dapat mengganggu website dan mengubah script sehingga untuk melayani tujuan mereka sendiri. Secara tradisional, browser telah menjalankan script campuran, asli atau tidak, dan memberitahu Anda setelah-fakta-ikon kunci rusak, kotak dialog, atau https:// merah dalam location bar (dalam kasus Google Chrome). Masalah dengan pendekatan ini adalah bahwa pada saat script telah berjalan, itu sudah terlambat, karena script memiliki akses ke semua data pada halaman. Google Chrome sekarang melindungi Anda dengan menolak di muka untuk menjalankan script pada halaman aman kecuali itu juga disampaikan melalui HTTPS.

Anda dapat mengabaikan fitur ini dengan mengklik "Load Anyway" di infobar ditampilkan di bagian atas halaman, tetapi Chrome tidak mengingat preferensi Anda. Sayangnya, Anda tidak dapat whitelist domain atau subdomain, sehingga Anda harus klik "Load Anyway" dan tunggu sampai halaman reloaded. Ada bendera baris perintah yang memungkinkan Anda menonaktifkan fitur ini: - memungkinkan konten tidak aman berjalan, tetapi Google mengatakan bahwa hal itu hanya harus digunakan oleh "pengguna dan admin yang memiliki aplikasi internal tanpa perbaikan segera untuk kesalahan ini". Chrome baru-baru ini menambahkan banyak fitur keamanan lainnya, termasuk fungsi untuk menghasilkan angka acak yang kuat, cara untuk memaksa HTTPS untuk setiap domain yang Anda inginkan, sebuah implementasi awal dari Kebijakan Konten Keamanan yang membantu melindungi terhadap Cross Site Scripting dan Gmail lebih aman yang menggunakan HTTPS untuk semua koneksi, bahkan ketika Anda mengetik "gmail.com" di address bar.


edited from google operating system blog

No comments: