Το Google Chrome θα αποκλείσει σύντομα τις μη ασφαλείς λήψεις σε σελίδες HTTPS

σύντομο δελτίο ειδήσεων XdaNov 15, 2023

Σύμφωνα με μια πρόσφατη ανάρτηση ιστολογίου ασφαλείας της Google, το Google Chrome θα αποκλείσει σύντομα τις μη ασφαλείς λήψεις σε ασφαλείς σελίδες HTTPS ξεκινώντας με το Chrome 83.

Google πρόσφατα κυκλοφόρησε το Chrome 80 σταθερή ενημέρωση για Android και επιτραπέζιους υπολογιστές. Ως μέρος της ενημέρωσης, η Google παρουσίασε μια σειρά από νέες δυνατότητες, συμπεριλαμβανομένης της δυνατότητας αυτόματης αναβάθμισης μικτού περιεχομένου το μάθαμε τον Οκτώβριο πέρυσι. Αυτή η νέα δυνατότητα είναι μέρος της Google σχέδιο για την ασφάλεια του ιστού με HTTPS. Τώρα, σε μια προσπάθεια να κάνει τις σελίδες HTTPS ακόμα πιο ασφαλείς, το Google Chrome θα αποκλείσει επίσης τις μη ασφαλείς λήψεις σε ασφαλείς σελίδες σύντομα.

Στην ανάρτηση του ιστολογίου, η Google ισχυρίζεται ότι τα αρχεία που έχουν ληφθεί με μη ασφαλή λήψη αποτελούν κίνδυνο για το απόρρητο και την ασφάλεια των χρηστών. Τέτοια αρχεία μπορούν εύκολα να αντικατασταθούν με κακόβουλο λογισμικό από εισβολείς και μπορεί επίσης να κινδυνεύσουν να διαβαστούν από τους υποκλοπές. Προκειμένου να αντιμετωπίσει αυτούς τους κινδύνους, η εταιρεία σχεδιάζει να καταργήσει τελικά την υποστήριξη για μη ασφαλείς λήψεις στο Google Chrome. Ο αποκλεισμός μη ασφαλών λήψεων σε σελίδες HTTPS είναι το πρώτο βήμα που κάνει η Google προς αυτό το μέτρο. Αυτό είναι ζωτικής σημασίας επειδή επί του παρόντος το Chrome δεν υποδεικνύει στους χρήστες ότι το απόρρητο και η ασφάλειά τους διατρέχουν κίνδυνο κατά τη λήψη περιεχομένου σε ασφαλείς σελίδες.

Ξεκινώντας με το Chrome 82, το οποίο αναμένεται να κυκλοφορήσει τον Απρίλιο του 2020, το Chrome θα αρχίσει σταδιακά να προειδοποιεί τους χρήστες (όπως φαίνεται παραπάνω) για λήψεις μικτού περιεχομένου. Αυτές οι λήψεις θα αποκλειστούν πλήρως σε μεταγενέστερο στάδιο. Αυτή η αλλαγή θα επηρεάσει πρώτα τους τύπους αρχείων που αποτελούν τον μεγαλύτερο κίνδυνο για τους χρήστες, όπως τα εκτελέσιμα, και στη συνέχεια θα αντιμετωπίσει περισσότερους τύπους αρχείων σε επόμενες εκδόσεις. Η Google ισχυρίζεται ότι η σταδιακή διάθεση έχει «σχεδιαστεί για να μετριάσει γρήγορα τους χειρότερους κινδύνους, να παρέχει στους προγραμματιστές την ευκαιρία να ενημερώσουν ιστότοπους και να ελαχιστοποιήσουν τον αριθμό των προειδοποιήσεων που πρέπει να βλέπουν οι χρήστες του Chrome».

Αρχικά, η Google θα εφαρμόσει αυτούς τους περιορισμούς στις λήψεις μικτού περιεχομένου σε πλατφόρμες υπολογιστών, ξεκινώντας από το Chrome 81. Ακολουθεί το λεπτομερές χρονοδιάγραμμα για περιορισμούς σε πλατφόρμες επιτραπέζιων υπολογιστών:

  • Στο Chrome 81 (κυκλοφόρησε τον Μάρτιο του 2020) και αργότερα:
    • Το Chrome θα εκτυπώσει ένα προειδοποιητικό μήνυμα κονσόλας σχετικά με όλες τις λήψεις μικτού περιεχομένου.
  • Στο Chrome 82 (κυκλοφόρησε τον Απρίλιο του 2020):
    • Το Chrome θα προειδοποιεί για λήψεις μικτού περιεχομένου ή εκτελέσιμα (π.χ. .exe).
  • Στο Chrome 83 (κυκλοφόρησε τον Ιούνιο του 2020):
    • Το Chrome θα αποκλείσει τα εκτελέσιμα μεικτού περιεχομένου
    • Το Chrome θα προειδοποιεί για αρχεία μικτού περιεχομένου (.zip) και εικόνες δίσκου (.iso).
  • Στο Chrome 84 (κυκλοφόρησε τον Αύγουστο του 2020):
    • Το Chrome θα αποκλείσει εκτελέσιμα αρχεία μικτού περιεχομένου, αρχεία και εικόνες δίσκου
    • Το Chrome θα προειδοποιεί για όλες τις άλλες λήψεις μικτού περιεχομένου εκτός από τις μορφές εικόνας, ήχου, βίντεο και κειμένου.
  • Στο Chrome 85 (κυκλοφόρησε τον Σεπτέμβριο του 2020):
    • Το Chrome θα προειδοποιεί για λήψεις μικτού περιεχομένου εικόνων, ήχου, βίντεο και κειμένου
    • Το Chrome θα αποκλείσει όλες τις άλλες λήψεις μικτού περιεχομένου
  • Στο Chrome 86 (κυκλοφόρησε τον Οκτώβριο του 2020) και μετά, το Chrome θα αποκλείει όλες τις λήψεις μικτού περιεχομένου.

Αυτοί οι περιορισμοί θα καθυστερήσουν κατά μία έκδοση για χρήστες Android και iOS, με την προειδοποίηση να ξεκινά από το Chrome 83. Η Google ισχυρίζεται ότι δεδομένου ότι οι πλατφόρμες για κινητές συσκευές έχουν καλύτερη εγγενή προστασία από κακόβουλα αρχεία, η καθυστέρηση θα δώσει στους προγραμματιστές το προβάδισμα για την ενημέρωση των ιστοτόπων τους προτού επηρεαστούν οι χρήστες. Οι προγραμματιστές μπορούν να διασφαλίσουν ότι οι λήψεις χρησιμοποιούν μόνο HTTPS σε περίπτωση που δεν θέλουν οι χρήστες να δουν ποτέ μια προειδοποίηση λήψης.

Επιπλέον, στην τρέχουσα έκδοση του Chrome Canary ή στο Chrome 81 μόλις κυκλοφορήσει, οι προγραμματιστές μπορούν επίσης να ενεργοποιήσουν μια προειδοποίηση στο όλες οι λήψεις μικτού περιεχομένου για δοκιμή ενεργοποιώντας την "Αντιμετώπιση επικίνδυνων λήψεων μέσω μη ασφαλών συνδέσεων ως ενεργού μικτού περιεχομένου" σημαία. Η Google σχεδιάζει να περιορίσει περαιτέρω τις μη ασφαλείς λήψεις στο Google Chrome στο μέλλον και για το σκοπό αυτό, η εταιρεία προέτρεψε τους προγραμματιστές να μετεγκατασταθούν πλήρως στο HTTPS προκειμένου να αποφευχθούν οι περιορισμοί.

Πηγή: Google Security Blog