Podle nedávného příspěvku na bezpečnostním blogu Google bude Google Chrome brzy blokovat nezabezpečené stahování na zabezpečených stránkách HTTPS počínaje verzí Chrome 83.
Google nedávno představil Chrome 80 stabilní aktualizace na Android a desktop. V rámci aktualizace Google představil řadu nových funkcí, včetně funkce automatického upgradu smíšeného obsahu jsme se o tom dozvěděli v říjnu minulý rok. Tato nová funkce je součástí Google plán na zabezpečení webu s HTTPS. Nyní, ve snaze učinit stránky HTTPS ještě bezpečnějšími, bude Google Chrome brzy blokovat nezabezpečené stahování na zabezpečených stránkách.
Google v příspěvku na blogu tvrdí, že nezabezpečeně stažené soubory představují riziko pro soukromí a bezpečnost uživatelů. Takové soubory mohou útočníci snadno vyměnit za malware a mohou být také vystaveni riziku, že je přečtou odposlouchávači. Aby se tato rizika vyřešila, společnost plánuje časem odstranit podporu pro nezabezpečené stahování v prohlížeči Google Chrome. Blokování nezabezpečeného stahování na stránkách HTTPS je prvním krokem, který Google k tomuto opatření podniká. To je zásadní, protože Chrome v současné době neindikuje uživatelům, že jejich soukromí a zabezpečení jsou při stahování obsahu ze zabezpečených stránek ohroženy.
Počínaje verzí Chrome 82, jejíž vydání se očekává v dubnu 2020, začne Chrome postupně upozorňovat uživatele (jak je vidět výše) na stahování smíšeného obsahu. Tato stahování budou v pozdější fázi zcela zablokována. Tato změna nejprve ovlivní typy souborů, které pro uživatele představují největší riziko, jako jsou spustitelné soubory, a poté se v následujících vydáních zaměří na více typů souborů. Google tvrdí, že postupné zavádění je „navrženo tak, aby rychle zmírnilo nejhorší rizika, poskytlo vývojářům příležitost aktualizovat stránky a minimalizovalo, kolik varování musí uživatelé Chrome vidět“.
Nejprve Google zavede tato omezení pro stahování smíšeného obsahu na desktopové platformy, počínaje Chrome 81. Zde je podrobná časová osa omezení na platformách pro stolní počítače:
- V Chrome 81 (vydáno v březnu 2020) a novějších:
- Chrome vytiskne zprávu konzole s upozorněním na veškeré stahování smíšeného obsahu.
- V Chrome 82 (vydáno v dubnu 2020):
- Chrome bude varovat před stahováním smíšeného obsahu nebo spustitelných souborů (např. .exe).
- V Chrome 83 (vydáno v červnu 2020):
- Chrome bude blokovat spustitelné soubory se smíšeným obsahem
- Chrome vás upozorní na archivy se smíšeným obsahem (.zip) a obrazy disků (.iso).
- V Chrome 84 (vydáno v srpnu 2020):
- Chrome bude blokovat spustitelné soubory se smíšeným obsahem, archivy a obrazy disků
- Chrome bude varovat při stahování veškerého dalšího smíšeného obsahu kromě obrázků, zvuku, videa a textových formátů.
- V Chrome 85 (vydáno v září 2020):
- Chrome bude varovat při stahování smíšeného obsahu obrázků, zvuku, videa a textu
- Chrome bude blokovat stahování veškerého dalšího smíšeného obsahu
- V Chrome 86 (vydáno v říjnu 2020) a pozdějších bude Chrome blokovat stahování veškerého smíšeného obsahu.
Tato omezení budou opožděna o jedno vydání pro uživatele Android a iOS, přičemž varování začne v Chrome 83. Google tvrdí, že vzhledem k tomu, že mobilní platformy mají lepší nativní ochranu proti škodlivým souborům, zpoždění poskytne vývojářům náskok při aktualizaci svých webových stránek dříve, než budou ovlivněni uživatelé. Vývojáři mohou zajistit, aby stahování používala pouze HTTPS v případě, že nechtějí, aby se uživatelům někdy zobrazilo upozornění na stahování.
V aktuální verzi Chrome Canary nebo v Chrome 81 po vydání mohou vývojáři navíc aktivovat upozornění na veškeré stahování smíšeného obsahu pro testování povolením možnosti „Považovat rizikové stahování přes nezabezpečená připojení jako aktivní smíšený obsah“ vlajka. Google plánuje v budoucnu dále omezit nezabezpečené stahování v prohlížeči Google Chrome a za tímto účelem společnost vyzvala vývojáře, aby plně migrovali na HTTPS, aby se vyhnuli omezením.
Zdroj: Blog zabezpečení Google