Google Chrome скоро ще блокира незащитени изтегляния на HTTPS страници

кратки новини за XdaNov 15, 2023
click fraud protection

Според скорошна публикация в блога за сигурност на Google, Google Chrome скоро ще блокира несигурни изтегляния на защитени HTTPS страници, започвайки с Chrome 83.

Google наскоро пусна Chrome 80 стабилна актуализация за Android и десктоп. Като част от актуализацията Google представи редица нови функции, включително функцията за автоматично надграждане на смесено съдържание научихме още през октомври миналата година. Тази нова функция е част от Google план за защита на мрежата с HTTPS. Сега, в опит да направи HTTPS страниците още по-сигурни, Google Chrome също скоро ще блокира незащитени изтегляния на защитени страници.

В публикацията в блога Google твърди, че несигурно изтеглените файлове са риск за поверителността и сигурността на потребителите. Такива файлове могат лесно да бъдат заменени за злонамерен софтуер от нападателите и също могат да бъдат изложени на риск да бъдат прочетени от подслушвачи. За да се справи с тези рискове, компанията планира в крайна сметка да премахне поддръжката за несигурни изтегляния в Google Chrome. Блокирането на несигурни изтегляния на HTTPS страници е първата стъпка, която Google предприема към тази мярка. Това е от решаващо значение, тъй като в момента Chrome не показва на потребителите, че поверителността и сигурността им са изложени на риск, докато изтеглят съдържание от защитени страници.

Започвайки с Chrome 82, който се очаква да бъде пуснат през април 2020 г., Chrome постепенно ще започне да предупреждава потребителите (както се вижда по-горе) за изтегляния на смесено съдържание. Тези изтегляния ще бъдат напълно блокирани на по-късен етап. Тази промяна първо ще засегне типове файлове, които представляват най-голям риск за потребителите, като изпълними файлове, а след това ще се обърне към повече типове файлове в следващите версии. Google твърди, че постепенното внедряване е „предназначено бързо да смекчи най-лошите рискове, да предостави на разработчиците възможност да актуализират сайтовете и да сведе до минимум броя предупреждения, които потребителите на Chrome трябва да видят“.

Първоначално Google ще въведе тези ограничения върху изтеглянията на смесено съдържание на настолни платформи, започвайки с Chrome 81. Ето подробната времева линия за ограничения за настолни платформи:

  • В Chrome 81 (издаден март 2020 г.) и по-нови:
    • Chrome ще отпечата конзолно съобщение с предупреждение за всички изтегляния на смесено съдържание.
  • В Chrome 82 (издаден през април 2020 г.):
    • Chrome ще предупреди за изтегляния на смесено съдържание или изпълними файлове (напр. .exe).
  • В Chrome 83 (издаден през юни 2020 г.):
    • Chrome ще блокира изпълними файлове със смесено съдържание
    • Chrome ще предупреждава за архиви със смесено съдържание (.zip) и дискови изображения (.iso).
  • В Chrome 84 (издаден през август 2020 г.):
    • Chrome ще блокира изпълними файлове със смесено съдържание, архиви и дискови изображения
    • Chrome ще предупреждава за всички други изтегляния на смесено съдържание, с изключение на изображения, аудио, видео и текстови формати.
  • В Chrome 85 (издаден през септември 2020 г.):
    • Chrome ще предупреждава при изтегляне на смесено съдържание на изображения, аудио, видео и текст
    • Chrome ще блокира всички други изтегляния на смесено съдържание
  • В Chrome 86 (излязъл през октомври 2020 г.) и след това Chrome ще блокира всички изтегляния на смесено съдържание.

Тези ограничения ще бъдат отложени с една версия за потребители на Android и iOS, като предупреждението ще започне в Chrome 83. Google твърди, че тъй като мобилните платформи имат по-добра собствена защита срещу злонамерени файлове, забавянето ще даде преднина на разработчиците към актуализиране на уебсайтовете си, преди потребителите да бъдат засегнати. Разработчиците могат да гарантират, че изтеглянията използват само HTTPS, в случай че не искат потребителите някога да виждат предупреждение за изтегляне.

Освен това в текущата версия на Chrome Canary или в Chrome 81, след като бъде пусната, разработчиците могат също да активират предупреждение на всички изтегляния на смесено съдържание за тестване, като активирате „Третирай рисковите изтегляния през несигурни връзки като активно смесено съдържание“ знаме. Google планира допълнително да ограничи несигурните изтегляния в Google Chrome в бъдеще и за тази цел компанията призова разработчиците напълно да мигрират към HTTPS, за да избегнат ограниченията.

източник: Блог на Google за сигурност