Google Chrome bloccherà presto i download non sicuri sulle pagine HTTPS

Breve Notizia Di XdaNov 15, 2023

Secondo un recente post sul blog sulla sicurezza di Google, Google Chrome bloccherà presto i download non sicuri su pagine HTTPS sicure a partire da Chrome 83.

Google di recente ha lanciato Chrome 80 aggiornamento stabile per Android e desktop. Come parte dell'aggiornamento, Google ha introdotto una serie di nuove funzionalità, inclusa la funzionalità di contenuto misto di aggiornamento automatico ne abbiamo avuto notizia in ottobre l'anno scorso. Questa nuova funzionalità fa parte di Google piano per proteggere il Web con HTTPS. Ora, nel tentativo di rendere le pagine HTTPS ancora più sicure, Google Chrome bloccherà presto anche i download non sicuri su pagine protette.

Nel post sul blog, Google afferma che i file scaricati in modo non sicuro rappresentano un rischio per la privacy e la sicurezza degli utenti. Tali file possono essere facilmente scambiati con malware dagli aggressori e possono anche correre il rischio di essere letti da persone intruse. Per far fronte a questi rischi, la società prevede di rimuovere eventualmente il supporto per i download non sicuri in Google Chrome. Il blocco dei download non sicuri sulle pagine HTTPS è il primo passo che Google sta compiendo verso questa misura. Questo è fondamentale perché attualmente Chrome non indica agli utenti che la loro privacy e sicurezza sono a rischio mentre scaricano contenuti su pagine sicure.

A partire da Chrome 82, il cui rilascio è previsto per aprile 2020, Chrome inizierà gradualmente ad avvisare gli utenti (come visto sopra) sui download di contenuti misti. Questi download verranno bloccati completamente in una fase successiva. Questa modifica avrà un impatto innanzitutto sui tipi di file che rappresentano il rischio maggiore per gli utenti, come gli eseguibili, e poi si occuperà di più tipi di file nelle versioni successive. Google afferma che l'implementazione graduale è "progettata per mitigare rapidamente i rischi peggiori, offrire agli sviluppatori l'opportunità di aggiornare i siti e ridurre al minimo il numero di avvisi che gli utenti di Chrome devono vedere".

Inizialmente, Google implementerà queste restrizioni sui download di contenuti misti su piattaforme desktop, a partire da Chrome 81. Ecco la cronologia dettagliata delle restrizioni sulle piattaforme desktop:

  • In Chrome 81 (rilasciato a marzo 2020) e versioni successive:
    • Chrome stamperà un messaggio di avviso sulla console relativo a tutti i download di contenuti misti.
  • In Chrome 82 (rilasciato ad aprile 2020):
    • Chrome avviserà in caso di download di contenuti misti o di file eseguibili (ad esempio .exe).
  • In Chrome 83 (rilasciato a giugno 2020):
    • Chrome bloccherà gli eseguibili con contenuti misti
    • Chrome avviserà in caso di archivi con contenuti misti (.zip) e immagini disco (.iso).
  • In Chrome 84 (rilasciato ad agosto 2020):
    • Chrome bloccherà file eseguibili, archivi e immagini disco con contenuti misti
    • Chrome avviserà di tutti gli altri download di contenuti misti, ad eccezione dei formati immagine, audio, video e testo.
  • In Chrome 85 (rilasciato a settembre 2020):
    • Chrome avviserà in caso di download di contenuti misti di immagini, audio, video e testo
    • Chrome bloccherà tutti gli altri download di contenuti misti
  • In Chrome 86 (rilasciato a ottobre 2020) e versioni successive, Chrome bloccherà tutti i download di contenuti misti.

Queste restrizioni verranno ritardate di una versione per gli utenti Android e iOS, con un avviso a partire da Chrome 83. Google sostiene che, poiché le piattaforme mobili hanno una migliore protezione nativa contro i file dannosi, il ritardo darà agli sviluppatori un vantaggio nell’aggiornare i loro siti web prima che gli utenti vengano colpiti. Gli sviluppatori possono garantire che i download utilizzino solo HTTPS nel caso in cui non desiderino che gli utenti visualizzino mai un avviso di download.

Inoltre, nella versione attuale di Chrome Canary, o in Chrome 81 una volta rilasciato, gli sviluppatori possono anche attivare un avviso su tutti i download di contenuti misti per testarli abilitando l'opzione "Considera i download rischiosi su connessioni non sicure come contenuti misti attivi" bandiera. Google prevede di limitare ulteriormente i download non sicuri in Google Chrome in futuro e, a tal fine, la società ha invitato gli sviluppatori a migrare completamente su HTTPS per evitare restrizioni.

Fonte: Blog sulla sicurezza di Google