Google Chrome pronto bloqueará descargas inseguras en páginas HTTPS

Según una publicación reciente del blog de seguridad de Google, Google Chrome pronto bloqueará descargas no seguras en páginas HTTPS seguras a partir de Chrome 83.

Google recientemente lanzó el Chrome 80 Actualización estable para Android y escritorio. Como parte de la actualización, Google introdujo una serie de funciones nuevas, incluida la función de actualización automática de contenido mixto. nos enteramos en octubre el año pasado. Esta nueva característica es parte de Google planear proteger la web con HTTPS. Ahora, en un intento por hacer que las páginas HTTPS sean aún más seguras, Google Chrome también bloqueará pronto las descargas no seguras en páginas seguras.

En la publicación del blog, Google afirma que los archivos descargados de forma insegura son un riesgo para la privacidad y seguridad de los usuarios. Los atacantes pueden intercambiar fácilmente estos archivos por malware y también pueden correr el riesgo de ser leídos por espías. Para abordar estos riesgos, la compañía planea eventualmente eliminar la compatibilidad con descargas inseguras en Google Chrome. Bloquear descargas no seguras en páginas HTTPS es el primer paso que está dando Google hacia esta medida. Esto es crucial porque actualmente Chrome no indica a los usuarios que su privacidad y seguridad están en riesgo mientras descargan contenido en páginas seguras.

A partir de Chrome 82, que se espera que se lance en abril de 2020, Chrome comenzará gradualmente a advertir a los usuarios (como se ve arriba) sobre descargas de contenido mixto. Estas descargas se bloquearán por completo más adelante. Este cambio afectará primero a los tipos de archivos que representan el mayor riesgo para los usuarios, como los ejecutables, y luego abordará más tipos de archivos en versiones posteriores. Google afirma que el lanzamiento gradual está "diseñado para mitigar rápidamente los peores riesgos, brindar a los desarrolladores la oportunidad de actualizar los sitios y minimizar la cantidad de advertencias que los usuarios de Chrome deben ver".

Al principio, Google implementará estas restricciones en las descargas de contenido mixto en plataformas de escritorio, comenzando con Chrome 81. Aquí está el cronograma detallado de las restricciones en las plataformas de escritorio:

  • En Chrome 81 (lanzado en marzo de 2020) y versiones posteriores:
    • Chrome imprimirá un mensaje de consola advirtiendo sobre todas las descargas de contenido mixto.
  • En Chrome 82 (lanzado en abril de 2020):
    • Chrome advertirá sobre descargas de contenido mixto o ejecutables (por ejemplo, .exe).
  • En Chrome 83 (lanzado en junio de 2020):
    • Chrome bloqueará ejecutables de contenido mixto
    • Chrome advertirá sobre archivos de contenido mixto (.zip) e imágenes de disco (.iso).
  • En Chrome 84 (lanzado en agosto de 2020):
    • Chrome bloqueará ejecutables, archivos e imágenes de disco de contenido mixto
    • Chrome advertirá sobre todas las demás descargas de contenido mixto, excepto los formatos de imagen, audio, video y texto.
  • En Chrome 85 (lanzado en septiembre de 2020):
    • Chrome advertirá sobre descargas de contenido mixto de imágenes, audio, vídeo y texto
    • Chrome bloqueará todas las demás descargas de contenido mixto
  • En Chrome 86 (lanzado en octubre de 2020) y versiones posteriores, Chrome bloqueará todas las descargas de contenido mixto.

Estas restricciones se retrasarán una versión para los usuarios de Android e iOS, con una advertencia a partir de Chrome 83. Google afirma que, dado que las plataformas móviles tienen una mejor protección nativa contra archivos maliciosos, el retraso dará a los desarrolladores una ventaja para actualizar sus sitios web antes de que los usuarios se vean afectados. Los desarrolladores pueden asegurarse de que las descargas solo utilicen HTTPS en caso de que no quieran que los usuarios vean una advertencia de descarga.

Además, en la versión actual de Chrome Canary, o en Chrome 81 una vez lanzado, los desarrolladores también pueden activar una advertencia en todas las descargas de contenido mixto para realizar pruebas habilitando la opción "Tratar las descargas riesgosas a través de conexiones inseguras como contenido mixto activo" bandera. Google planea restringir aún más las descargas inseguras en Google Chrome en el futuro y, a tal efecto, la compañía ha instado a los desarrolladores a migrar completamente a HTTPS para evitar restricciones.


Fuente: Blog de seguridad de Google