Äskettäisen Googlen tietoturvablogiviestin mukaan Google Chrome estää pian suojaamattomien latausten lataamisen suojatuilla HTTPS-sivuilla Chrome 83:sta alkaen.
Google hiljattain julkaisi Chrome 80:n vakaa päivitys Androidille ja työpöydälle. Osana päivitystä Google esitteli useita uusia ominaisuuksia, mukaan lukien automaattisen päivityksen sekasisältöominaisuuden saimme tietää jo lokakuussa viime vuonna. Tämä uusi ominaisuus on osa Googlen ominaisuuksia aikoo suojata verkkoa HTTPS: n kanssa. Tehdäkseen HTTPS-sivuista entistä turvallisempia Google Chrome estää nyt myös suojaamattomat lataukset suojatuilta sivuilta pian.
Blogiviestissä Google väittää, että turvattomasti ladatut tiedostot ovat riski käyttäjien yksityisyydelle ja turvallisuudelle. Hyökkääjät voivat helposti vaihtaa tällaiset tiedostot haittaohjelmiin, ja ne voivat myös olla vaarassa, että salakuuntelijat voivat lukea ne. Näiden riskien torjumiseksi yritys aikoo lopulta poistaa tuen turvattomille latauksille Google Chromesta. Turvattomien latausten estäminen HTTPS-sivuilla on ensimmäinen askel, jonka Google ottaa kohti tätä toimenpidettä. Tämä on erittäin tärkeää, koska tällä hetkellä Chrome ei ilmoita käyttäjille, että heidän yksityisyytensä ja turvallisuutensa ovat vaarassa, kun he lataavat sisältöä suojatuilta sivuilta.
Chrome 82:sta alkaen, jonka odotetaan julkaistavan huhtikuussa 2020, Chrome alkaa vähitellen varoittaa käyttäjiä (kuten yllä näkyy) sekasisällön latauksista. Nämä lataukset estetään kokonaan myöhemmässä vaiheessa. Tämä muutos vaikuttaa ensin tiedostotyyppeihin, jotka aiheuttavat suurimman riskin käyttäjille, kuten suoritettaviin tiedostoihin, ja sitten lisää tiedostotyyppejä myöhemmissä julkaisuissa. Google väittää, että asteittainen käyttöönotto on "suunniteltu vähentämään pahimpia riskejä nopeasti, tarjoamaan kehittäjille mahdollisuus päivittää sivustoja ja minimoimaan Chromen käyttäjien näkevien varoitusten määrä."
Aluksi Google ottaa nämä rajoitukset käyttöön sekasisällön latauksille työpöytäalustoilla Chrome 81:stä alkaen. Tässä on yksityiskohtainen aikajana työpöytäalustoja koskeville rajoituksille:
- Chrome 81:ssä (julkaistu maaliskuussa 2020) ja uudemmissa:
- Chrome tulostaa konsolivaroituksen kaikista sekasisällön latauksista.
- Chrome 82:ssa (julkaistu huhtikuussa 2020):
- Chrome varoittaa sekasisällön latauksista tai suoritettavista tiedostoista (esim. .exe).
- Chrome 83:ssa (julkaistu kesäkuussa 2020):
- Chrome estää sekasisällön suoritettavat tiedostot
- Chrome varoittaa sekasisällön arkistoista (.zip) ja levykuvista (.iso).
- Chrome 84:ssä (julkaistu elokuussa 2020):
- Chrome estää sekasisällön suoritettavat tiedostot, arkistot ja levykuvat
- Chrome varoittaa kaikista muista sekasisällön latauksista paitsi kuva-, ääni-, video- ja tekstimuodoissa.
- Chrome 85:ssä (julkaistu syyskuussa 2020):
- Chrome varoittaa kuvien, äänen, videon ja tekstin sekasisällön latauksista
- Chrome estää kaiken muun sekasisällön lataukset
- Chrome 86:ssa (julkaistu lokakuussa 2020) ja sitä uudemmissa versioissa Chrome estää kaiken sekasisällön lataukset.
Nämä rajoitukset viivästyvät yhdellä julkaisulla Android- ja iOS-käyttäjille, ja varoitus alkaa Chrome 83:sta. Google väittää, että koska mobiilialustoilla on parempi natiivisuojaus haitallisia tiedostoja vastaan, viive antaa kehittäjille etumatkan verkkosivustojensa päivittämiseen ennen kuin se vaikuttaa käyttäjiin. Kehittäjät voivat varmistaa, että lataukset käyttävät vain HTTPS: ää, jos he eivät halua käyttäjien näkevän latausvaroitusta.
Lisäksi Chrome Canaryn nykyisessä versiossa tai julkaisun jälkeen Chrome 81:ssä kehittäjät voivat myös aktivoida varoituksen kaikki sekasisällön lataukset testausta varten ottamalla käyttöön "Kohtele vaarallisia latauksia turvattomien yhteyksien kautta aktiivisena sekoitettuna sisältönä" lippu. Google aikoo jatkossa rajoittaa edelleen turvattomia latauksia Google Chromessa, ja tätä varten yhtiö on kehottanut kehittäjiä siirtymään kokonaan HTTPS: ään rajoitusten välttämiseksi.
Lähde: Googlen turvallisuusblogi