Google Chrome bloquera bientôt les téléchargements non sécurisés sur les pages HTTPS

Brève XdaNov 15, 2023
click fraud protection

Selon un récent article du blog sur la sécurité de Google, Google Chrome bloquera bientôt les téléchargements non sécurisés sur les pages HTTPS sécurisées à partir de Chrome 83.

Google récemment a déployé Chrome 80 mise à jour stable pour Android et ordinateur de bureau. Dans le cadre de la mise à jour, Google a introduit un certain nombre de nouvelles fonctionnalités, notamment la fonctionnalité de mise à niveau automatique du contenu mixte. nous l'avons appris en octobre l'année dernière. Cette nouvelle fonctionnalité fait partie du programme de Google projeter de sécuriser le Web avec HTTPS. Désormais, dans le but de rendre les pages HTTPS encore plus sécurisées, Google Chrome bloquera également bientôt les téléchargements non sécurisés sur les pages sécurisées.

Dans le billet de blog, Google affirme que les fichiers téléchargés de manière non sécurisée constituent un risque pour la confidentialité et la sécurité des utilisateurs. De tels fichiers peuvent facilement être remplacés par des logiciels malveillants par des attaquants et ils peuvent également risquer d'être lus par des oreilles indiscrètes. Afin de faire face à ces risques, la société prévoit de supprimer à terme la prise en charge des téléchargements non sécurisés dans Google Chrome. Le blocage des téléchargements non sécurisés sur les pages HTTPS est la première mesure prise par Google vers cette mesure. Ceci est crucial car actuellement Chrome n'indique pas aux utilisateurs que leur vie privée et leur sécurité sont menacées lorsqu'ils téléchargent du contenu sur des pages sécurisées.

À partir de Chrome 82, dont la sortie est prévue en avril 2020, Chrome commencera progressivement à avertir les utilisateurs (comme vu ci-dessus) des téléchargements de contenu mixte. Ces téléchargements seront complètement bloqués ultérieurement. Ce changement affectera d'abord les types de fichiers qui présentent le plus de risques pour les utilisateurs, comme les exécutables, puis concernera davantage de types de fichiers dans les versions ultérieures. Google affirme que le déploiement progressif est "conçu pour atténuer rapidement les pires risques, offrir aux développeurs la possibilité de mettre à jour les sites et minimiser le nombre d'avertissements que les utilisateurs de Chrome doivent voir".

Dans un premier temps, Google déploiera ces restrictions sur les téléchargements de contenus mixtes sur les plateformes de bureau, à commencer par Chrome 81. Voici le calendrier détaillé des restrictions sur les plates-formes de bureau :

  • Dans Chrome 81 (publié en mars 2020) et versions ultérieures :
    • Chrome imprimera un message d'avertissement sur la console concernant tous les téléchargements de contenu mixte.
  • Dans Chrome 82 (publié en avril 2020) :
    • Chrome vous avertira en cas de téléchargements de contenu mixte ou d'exécutables (par exemple .exe).
  • Dans Chrome 83 (publié en juin 2020) :
    • Chrome bloquera les exécutables à contenu mixte
    • Chrome vous avertira en cas d'archives de contenu mixte (.zip) et d'images disque (.iso).
  • Dans Chrome 84 (publié en août 2020) :
    • Chrome bloquera les exécutables à contenu mixte, les archives et les images disque
    • Chrome avertira de tous les autres téléchargements de contenu mixte, à l'exception des formats d'image, audio, vidéo et texte.
  • Dans Chrome 85 (publié en septembre 2020) :
    • Chrome avertira en cas de téléchargements de contenu mixte d'images, d'audio, de vidéo et de texte
    • Chrome bloquera tous les autres téléchargements de contenu mixte
  • Dans Chrome 86 (publié en octobre 2020) et au-delà, Chrome bloquera tous les téléchargements de contenu mixte.

Ces restrictions seront retardées d'une version pour les utilisateurs d'Android et iOS, avec un avertissement commençant dans Chrome 83. Google affirme que, étant donné que les plates-formes mobiles disposent d'une meilleure protection native contre les fichiers malveillants, ce délai donnera aux développeurs une longueur d'avance pour mettre à jour leurs sites Web avant que les utilisateurs ne soient affectés. Les développeurs peuvent garantir que les téléchargements utilisent uniquement HTTPS au cas où ils ne souhaitent pas que les utilisateurs voient un avertissement de téléchargement.

De plus, dans la version actuelle de Chrome Canary, ou dans Chrome 81 une fois publié, les développeurs peuvent également activer un avertissement sur tous les téléchargements de contenu mixte à tester en activant l'option « Traiter les téléchargements à risque sur des connexions non sécurisées comme du contenu mixte actif » drapeau. Google prévoit de restreindre davantage les téléchargements non sécurisés dans Google Chrome à l'avenir et, à cet effet, la société a exhorté les développeurs à migrer entièrement vers HTTPS afin d'éviter les restrictions.

Source: Blog sur la sécurité de Google