Hiljutise Google'i turvablogi postituse kohaselt blokeerib Google Chrome peagi ebaturvalised allalaadimised turvalistel HTTPS-i lehtedel alates versioonist Chrome 83.
Google hiljuti tõi välja Chrome 80 stabiilne värskendus Androidile ja töölauale. Värskenduse osana tutvustas Google mitmeid uusi funktsioone, sealhulgas automaatse uuendamise segasisu funktsiooni saime sellest teada oktoobris eelmisel aastal. See uus funktsioon on osa Google'i funktsioonist plaanivad veebi turvata HTTPS-iga. HTTPS-lehtede veelgi turvalisemaks muutmiseks blokeerib Google Chrome peagi ka ebaturvalised allalaadimised turvalistel lehtedel.
Google väidab blogipostituses, et ebaturvaliselt alla laaditud failid on oht kasutajate privaatsusele ja turvalisusele. Ründajad võivad selliseid faile kergesti pahavara vastu välja vahetada ja samuti võivad pealtkuulajad neid faile lugeda. Nende riskide lahendamiseks kavatseb ettevõte lõpuks eemaldada Google Chrome'i ebaturvaliste allalaadimiste toe. Ebaturvaliste allalaadimiste blokeerimine HTTPS-i lehtedel on esimene samm, mida Google selle meetme suunas teeb. See on ülioluline, sest praegu ei anna Chrome kasutajatele märku, et nende privaatsus ja turvalisus on turvaliste lehtede sisu allalaadimisel ohus.
Alates versioonist Chrome 82, mis peaks ilmuma 2020. aasta aprillis, hakkab Chrome järk-järgult hoiatama kasutajaid (nagu ülaltoodud) segasisu allalaadimiste eest. Need allalaadimised blokeeritakse hiljem täielikult. See muudatus mõjutab esmalt failitüüpe, mis kujutavad kasutajatele kõige suuremat ohtu (nt käivitatavad failid), ja seejärel käsitletakse järgmistes versioonides rohkem failitüüpe. Google väidab, et järkjärguline kasutuselevõtt on "mõeldud halvimate riskide kiireks maandamiseks, andmaks arendajatele võimalust saite värskendada ja minimeerida seda, kui palju hoiatusi Chrome'i kasutajad peavad nägema."
Alguses rakendab Google need piirangud segasisu allalaadimisel töölauaplatvormidel, alustades Chrome 81-st. Siin on töölauaplatvormide piirangute üksikasjalik ajakava:
- Chrome 81 (välja antud märtsis 2020) ja uuemates versioonides:
- Chrome prindib konsooli hoiatuse kõigi segatud sisu allalaadimiste kohta.
- Chrome 82-s (välja antud aprillis 2020):
- Chrome hoiatab segasisu allalaadimiste või käivitatavate failide (nt .exe) korral.
- Chrome 83-s (välja antud juunis 2020):
- Chrome blokeerib segasisuga käivitatavad failid
- Chrome hoiatab segasisu arhiivide (.zip) ja kettakujutiste (.iso) korral.
- Chrome 84-s (välja antud augustis 2020):
- Chrome blokeerib segasisu käivitatavad failid, arhiivid ja kettakujutised
- Chrome hoiatab kõigi muude segasisu allalaadimiste korral, välja arvatud pildi-, heli-, video- ja tekstivormingud.
- Chrome 85-s (välja antud septembris 2020):
- Chrome hoiatab piltide, heli, video ja teksti segasisu allalaadimise korral
- Chrome blokeerib kõik muu segatud sisu allalaadimised
- Chrome 86 (välja antud oktoobris 2020) ja uuemates versioonides blokeerib Chrome kõik segatud sisu allalaadimised.
Need piirangud lükkuvad ühe versiooni võrra edasi Androidi ja iOS-i kasutajatele, hoiatus algab Chrome 83-st. Google väidab, et kuna mobiiliplatvormidel on parem natiivne kaitse pahatahtlike failide vastu, annab viivitus arendajatele edumaa oma veebisaitide värskendamisel enne, kui see kasutajaid mõjutab. Arendajad saavad tagada, et allalaadimisel kasutatakse ainult HTTPS-i juhul, kui nad ei soovi, et kasutajad kunagi allalaadimishoiatust näeksid.
Lisaks saavad arendajad Chrome Canary praeguses versioonis või Chrome 81-s pärast väljalaskmist aktiveerida hoiatuse kõik segasisu allalaadimised testimiseks, lubades valiku "Kohtlege riskantseid allalaadimisi ebaturvaliste ühenduste kaudu aktiivse segasisuna" lipp. Google kavatseb tulevikus veelgi piirata ebaturvalist allalaadimist Google Chrome'is ja seetõttu on ettevõte kutsunud arendajaid üles piirangute vältimiseks täielikult HTTPS-ile üle minema.
Allikas: Google'i turvablogi