Prema nedavnoj objavi na blogu Google o sigurnosti, Google Chrome će uskoro blokirati nesigurna preuzimanja na sigurnim HTTPS stranicama počevši od Chromea 83.
Google nedavno izbacio Chrome 80 stabilno ažuriranje na Android i desktop. Kao dio ažuriranja, Google je predstavio niz novih značajki, uključujući značajku automatske nadogradnje miješanog sadržaja saznali smo još u listopadu prošle godine. Ova nova značajka dio je Googleove planirati osigurati web s HTTPS-om. Sada, u pokušaju da HTTPS stranice učini još sigurnijima, Google Chrome će uskoro također blokirati nesigurna preuzimanja na sigurnim stranicama.
U objavi na blogu Google tvrdi da nesigurno preuzete datoteke predstavljaju rizik za privatnost i sigurnost korisnika. Takve datoteke napadači mogu lako zamijeniti za zlonamjerni softver, a također mogu biti u opasnosti da ih pročitaju prisluškivači. Kako bi riješila te rizike, tvrtka planira s vremenom ukloniti podršku za nesigurna preuzimanja u pregledniku Google Chrome. Blokiranje nesigurnih preuzimanja na HTTPS stranicama prvi je korak koji Google poduzima prema ovoj mjeri. Ovo je ključno jer trenutačno Chrome ne ukazuje korisnicima da su njihova privatnost i sigurnost ugroženi dok preuzimaju sadržaj na sigurnim stranicama.
Počevši od Chromea 82, čije se izdavanje očekuje u travnju 2020., Chrome će postupno početi upozoravati korisnike (kao što se vidi gore) o preuzimanjima miješanog sadržaja. Ova će preuzimanja kasnije biti potpuno blokirana. Ova će promjena najprije utjecati na vrste datoteka koje predstavljaju najveći rizik za korisnike, poput izvršnih datoteka, a zatim će se u sljedećim izdanjima pozabaviti više vrsta datoteka. Google tvrdi da je postupno uvođenje "osmišljeno tako da brzo ublaži najgore rizike, pruži programerima priliku da ažuriraju web stranice i smanji broj upozorenja koje korisnici Chromea moraju vidjeti."
Isprva će Google uvesti ova ograničenja za preuzimanja mješovitog sadržaja na stolnim platformama, počevši od Chromea 81. Evo detaljnog vremenskog okvira za ograničenja na platformama stolnih računala:
- U Chromeu 81 (objavljen u ožujku 2020.) i novijim verzijama:
- Chrome će ispisati poruku konzole s upozorenjem o svim preuzimanjima miješanog sadržaja.
- U Chromeu 82 (objavljen u travnju 2020.):
- Chrome će upozoriti na preuzimanja miješanog sadržaja ili izvršne datoteke (npr. .exe).
- U Chromeu 83 (objavljen u lipnju 2020.):
- Chrome će blokirati izvršne datoteke miješanog sadržaja
- Chrome će upozoriti na arhive miješanog sadržaja (.zip) i slike diskova (.iso).
- U Chromeu 84 (objavljen u kolovozu 2020.):
- Chrome će blokirati izvršne datoteke miješanog sadržaja, arhive i slike diskova
- Chrome će upozoriti na sva ostala preuzimanja mješovitog sadržaja osim slikovnih, audio, video i tekstualnih formata.
- U Chromeu 85 (objavljen u rujnu 2020.):
- Chrome će upozoriti na preuzimanja miješanog sadržaja slika, zvuka, videa i teksta
- Chrome će blokirati sva druga preuzimanja miješanog sadržaja
- U Chromeu 86 (objavljen u listopadu 2020.) i novijim Chrome će blokirati sva preuzimanja miješanog sadržaja.
Ova će ograničenja biti odgođena za jedno izdanje za korisnike Androida i iOS-a, s upozorenjem koje počinje u Chromeu 83. Google tvrdi da budući da mobilne platforme imaju bolju nativnu zaštitu od zlonamjernih datoteka, odgoda će programerima dati prednost u ažuriranju svojih web stranica prije nego što to utječe na korisnike. Programeri mogu osigurati da preuzimanja koriste samo HTTPS u slučaju da ne žele da korisnici ikada vide upozorenje o preuzimanju.
Osim toga, u trenutnoj verziji Chrome Canary ili u Chromeu 81 nakon što bude objavljen, programeri također mogu aktivirati upozorenje na sva preuzimanja miješanog sadržaja za testiranje omogućavanjem opcije "Tretiraj rizična preuzimanja preko nesigurnih veza kao aktivni miješani sadržaj" zastava. Google planira dodatno ograničiti nesigurna preuzimanja u pregledniku Google Chrome u budućnosti iu tom je smislu tvrtka pozvala programere da u potpunosti pređu na HTTPS kako bi izbjegli ograničenja.
Izvor: Google sigurnosni blog