Ifølge et nyligt Google-sikkerhedsblogindlæg vil Google Chrome snart blokere usikre downloads på sikre HTTPS-sider, der starter med Chrome 83.
Google for nylig rullede Chrome 80 ud stabil opdatering til Android og desktop. Som en del af opdateringen introducerede Google en række nye funktioner, herunder funktionen til automatisk opgradering af blandet indhold vi lærte om tilbage i oktober sidste år. Denne nye funktion er en del af Googles planlægger at sikre nettet med HTTPS. Nu, i et forsøg på at gøre HTTPS-sider endnu mere sikre, vil Google Chrome også snart blokere for usikre downloads på sikre sider.
I blogindlægget hævder Google, at usikkert downloadede filer udgør en risiko for brugernes privatliv og sikkerhed. Sådanne filer kan nemt byttes ud med malware af angribere, og de kan også risikere at blive læst af aflyttere. For at imødegå disse risici planlægger virksomheden på sigt at fjerne understøttelse af usikre downloads i Google Chrome. Blokering af usikre downloads på HTTPS-sider er det første skridt, Google tager i retning af denne foranstaltning. Dette er afgørende, fordi Chrome i øjeblikket ikke angiver brugere, at deres privatliv og sikkerhed er i fare, mens de downloader indhold på sikre sider.
Startende med Chrome 82, som forventes at blive frigivet i april 2020, vil Chrome gradvist begynde at advare brugere (som vist ovenfor) om downloads af blandet indhold. Disse downloads vil blive blokeret fuldstændigt på et senere tidspunkt. Denne ændring vil først påvirke filtyper, der udgør den største risiko for brugerne, såsom eksekverbare filer, og derefter adressere flere filtyper i efterfølgende udgivelser. Google hævder, at den gradvise udrulning er "designet til hurtigt at mindske de værste risici, give udviklere mulighed for at opdatere websteder og minimere, hvor mange advarsler Chrome-brugere skal se."
I første omgang vil Google udrulle disse begrænsninger for download af blandet indhold på desktopplatforme, startende med Chrome 81. Her er den detaljerede tidslinje for begrænsninger på desktopplatforme:
- I Chrome 81 (udgivet marts 2020) og senere:
- Chrome udskriver en konsolmeddelelse, der advarer om alle downloads af blandet indhold.
- I Chrome 82 (udgivet april 2020):
- Chrome advarer om downloads af blandet indhold eller eksekverbare filer (f.eks. .exe).
- I Chrome 83 (udgivet juni 2020):
- Chrome blokerer blandet indhold eksekverbare
- Chrome advarer om arkiver med blandet indhold (.zip) og diskbilleder (.iso).
- I Chrome 84 (udgivet august 2020):
- Chrome blokerer blandet indhold eksekverbare, arkiver og diskbilleder
- Chrome advarer om alle andre downloads af blandet indhold undtagen billed-, lyd-, video- og tekstformater.
- I Chrome 85 (udgivet september 2020):
- Chrome advarer om downloads af blandet indhold af billeder, lyd, video og tekst
- Chrome blokerer alle andre downloads af blandet indhold
- I Chrome 86 (udgivet oktober 2020) og senere blokerer Chrome alt download af blandet indhold.
Disse begrænsninger vil blive forsinket med én udgivelse for Android- og iOS-brugere, med en advarsel, der starter i Chrome 83. Google hævder, at da mobilplatforme har bedre indbygget beskyttelse mod ondsindede filer, vil forsinkelsen give udviklere et forspring i retning af at opdatere deres hjemmesider, før brugerne bliver påvirket. Udviklere kan sikre, at downloads kun bruger HTTPS, hvis de ikke ønsker, at brugerne nogensinde skal se en downloadadvarsel.
Derudover kan udviklere i den nuværende version af Chrome Canary eller i Chrome 81, når de er udgivet, også aktivere en advarsel på alle downloads af blandet indhold til test ved at aktivere "Behandl risikable downloads via usikre forbindelser som aktivt blandet indhold" flag. Google planlægger yderligere at begrænse usikre downloads i Google Chrome i fremtiden, og i den forbindelse har virksomheden opfordret udviklere til fuldt ud at migrere til HTTPS for at undgå restriktioner.
Kilde: Google Sikkerhedsblog