Egy nemrégiben megjelent Google biztonsági blogbejegyzés szerint a Google Chrome hamarosan blokkolja a nem biztonságos letöltéseket a biztonságos HTTPS-oldalakon a Chrome 83-tól kezdve.
Google nemrég kiadta a Chrome 80-at stabil frissítés Androidra és asztali számítógépre. A frissítés részeként a Google számos új funkciót vezetett be, köztük a vegyes tartalom automatikus frissítését októberben tudtuk meg tavaly. Ez az új funkció a Google része tervezi az internet biztonságát HTTPS-sel. A HTTPS-oldalak még biztonságosabbá tétele érdekében a Google Chrome hamarosan blokkolja a nem biztonságos letöltéseket is a biztonságos oldalakon.
A blogbejegyzésben a Google azt állítja, hogy a nem biztonságosan letöltött fájlok kockázatot jelentenek a felhasználók magánéletére és biztonságára nézve. Az ilyen fájlokat a támadók könnyen kicserélhetik rosszindulatú programokra, és fennáll annak a veszélye is, hogy a lehallgatók elolvassák őket. E kockázatok kezelése érdekében a vállalat azt tervezi, hogy végül megszünteti a nem biztonságos letöltések támogatását a Google Chrome-ban. A nem biztonságos letöltések letiltása a HTTPS-oldalakon az első lépés, amelyet a Google tesz ezen intézkedés felé. Ez kulcsfontosságú, mert jelenleg a Chrome nem jelzi a felhasználóknak, hogy adatvédelmi és biztonságuk veszélyben van, miközben biztonságos oldalakról töltenek le tartalmat.
A Chrome 82-től kezdődően, amely várhatóan 2020 áprilisában jelenik meg, a Chrome fokozatosan figyelmezteti a felhasználókat (amint fentebb is látható) a vegyes tartalomletöltésekről. Ezek a letöltések egy későbbi szakaszban teljesen le lesznek tiltva. Ez a módosítás először azokat a fájltípusokat érinti, amelyek a legnagyobb kockázatot jelentik a felhasználók számára, például a végrehajtható fájlokat, majd a további kiadásokban további fájltípusokat érint. A Google azt állítja, hogy a fokozatos bevezetést úgy tervezték, hogy gyorsan csökkentse a legrosszabb kockázatokat, lehetőséget biztosítson a fejlesztőknek a webhelyek frissítésére, és minimálisra csökkentse a Chrome-felhasználók számára látható figyelmeztetések számát.
Eleinte a Google bevezeti ezeket a korlátozásokat a vegyes tartalom letöltésére az asztali platformokon, a Chrome 81-től kezdve. Íme az asztali platformokra vonatkozó korlátozások részletes ütemezése:
- Chrome 81-ben (megjelenés: 2020 márciusában) és újabb verziókban:
- A Chrome minden vegyes tartalomletöltésről figyelmeztető üzenetet nyomtat a konzolon.
- Chrome 82-ben (megjelenés: 2020. április):
- A Chrome figyelmezteti a vegyes tartalom letöltésére vagy végrehajtható fájlokra (pl. .exe).
- Chrome 83-ban (megjelenés: 2020 június):
- A Chrome blokkolja a vegyes tartalmú végrehajtható fájlokat
- A Chrome figyelmezteti a vegyes tartalmú archívumok (.zip) és lemezképek (.iso) esetén.
- Chrome 84-ben (megjelenés: 2020. augusztus):
- A Chrome blokkolja a vegyes tartalmú végrehajtható fájlokat, archívumokat és lemezképeket
- A Chrome minden egyéb vegyes tartalomletöltésre figyelmeztet, kivéve a kép-, hang-, videó- és szövegformátumokat.
- Chrome 85-ben (megjelenés: 2020. szeptember):
- A Chrome figyelmezteti a képek, hangok, videók és szövegek vegyes tartalmú letöltésére
- A Chrome letilt minden egyéb vegyes tartalom letöltését
- A Chrome 86-ban (megjelent 2020 októberében) és azt követően a Chrome letilt minden vegyes tartalom letöltését.
Ezek a korlátozások egy kiadással késnek az Android és iOS felhasználók számára, a figyelmeztetés a Chrome 83-ban kezdődik. A Google azt állítja, hogy mivel a mobilplatformok jobb natív védelmet biztosítanak a rosszindulatú fájlokkal szemben, a késedelem lehetővé teszi a fejlesztők számára, hogy frissítsék webhelyeiket, mielőtt a felhasználókat érintené. A fejlesztők biztosíthatják, hogy a letöltések csak HTTPS-t használjanak, ha nem akarják, hogy a felhasználók valaha is letöltési figyelmeztetést lássanak.
Ezenkívül a Chrome Canary jelenlegi verziójában vagy a Chrome 81-ben, amint megjelent, a fejlesztők figyelmeztetést is aktiválhatnak az összes vegyes tartalom letöltését tesztelésre, engedélyezve a „A nem biztonságos kapcsolatokon keresztüli kockázatos letöltéseket aktív vegyes tartalomként” zászló. A Google azt tervezi, hogy a jövőben tovább korlátozza a nem biztonságos letöltéseket a Google Chrome-ban, és ennek érdekében a vállalat arra szólította fel a fejlesztőket, hogy a korlátozások elkerülése érdekében teljes mértékben térjenek át HTTPS-re.
Forrás: Google biztonsági blog