Google Chrome יחסום בקרוב הורדות לא מאובטחות בדפי HTTPS

תמצית חדשות XdaNov 15, 2023
click fraud protection

לפי פוסט אחרון בבלוג האבטחה של Google, Google Chrome יחסום בקרוב הורדות לא מאובטחות בדפי HTTPS מאובטחים החל מ-Chrome 83.

גוגל לאחרונה הוציא את Chrome 80 עדכון יציב לאנדרואיד ולשולחן העבודה. כחלק מהעדכון, גוגל הציגה מספר תכונות חדשות, כולל תכונת השדרוג האוטומטי של תוכן מעורב למדנו על עוד באוקטובר שנה שעברה. התכונה החדשה הזו היא חלק מהתכונה של גוגל מתכננים לאבטח את האינטרנט עם HTTPS. כעת, במטרה להפוך דפי HTTPS לאבטחים עוד יותר, Google Chrome יחסום בקרוב גם הורדות לא מאובטחות בדפים מאובטחים.

בפוסט בבלוג טוענת גוגל כי קבצים שהורדו בצורה לא מאובטחת מהווים סיכון לפרטיות ולביטחון המשתמשים. ניתן בקלות להחליף קבצים כאלה עבור תוכנות זדוניות על ידי תוקפים והם יכולים גם להיות בסיכון להיקרא על ידי צוותתים. על מנת להתמודד עם סיכונים אלו, החברה מתכננת להסיר בסופו של דבר את התמיכה בהורדות לא מאובטחות בגוגל כרום. חסימת הורדות לא מאובטחות בדפי HTTPS היא הצעד הראשון שגוגל עושה לקראת הצעד הזה. זה חיוני מכיוון שכרגע Chrome אינו מציין למשתמשים שהפרטיות והאבטחה שלהם נמצאים בסיכון בזמן שהם מורידים תוכן בדפים מאובטחים.

החל מ-Chrome 82, שצפוי לצאת באפריל 2020, Chrome יתחיל בהדרגה להזהיר משתמשים (כפי שניתן לראות למעלה) מפני הורדות תוכן מעורב. הורדות אלו ייחסמו לחלוטין בשלב מאוחר יותר. שינוי זה ישפיע תחילה על סוגי קבצים המהווים את הסיכון הגבוה ביותר למשתמשים, כמו קובצי הפעלה, ולאחר מכן יתייחס לסוגי קבצים נוספים במהדורות הבאות. גוגל טוענת שההשקה ההדרגתית "נועדה לצמצם את הסיכונים הגרועים ביותר במהירות, לספק למפתחים הזדמנות לעדכן אתרים ולמזער את מספר האזהרות שמשתמשי Chrome צריכים לראות".

בתחילה, גוגל תפעיל את ההגבלות הללו על הורדות תוכן מעורב בפלטפורמות שולחניות, החל מ-Chrome 81. להלן ציר הזמן המפורט להגבלות על פלטפורמות שולחניות:

  • ב-Chrome 81 (שוחרר במרץ 2020) ואילך:
    • Chrome ידפיס הודעת מסוף המזהירה לגבי כל הורדות התוכן המעורב.
  • ב-Chrome 82 (שוחרר באפריל 2020):
    • Chrome יזהיר על הורדות של תוכן מעורב או קובצי הפעלה (למשל .exe).
  • ב-Chrome 83 (שוחרר ביוני 2020):
    • Chrome יחסום קובצי הפעלה של תוכן מעורב
    • Chrome יזהיר על ארכיוני תוכן מעורב (.zip) ותמונות דיסק (.iso).
  • ב-Chrome 84 (שוחרר באוגוסט 2020):
    • Chrome יחסום קובצי הפעלה של תוכן מעורב, ארכיונים ותמונות דיסק
    • Chrome יזהיר על כל שאר הורדות התוכן המעורב למעט פורמטים של תמונה, אודיו, וידאו וטקסט.
  • ב-Chrome 85 (שוחרר בספטמבר 2020):
    • Chrome יתריע על הורדות של תוכן מעורב של תמונות, אודיו, וידאו וטקסט
    • Chrome יחסום את כל שאר הורדות התוכן המעורב
  • ב-Chrome 86 (שוחרר באוקטובר 2020) ואילך, Chrome יחסום את כל הורדות התוכן המעורב.

הגבלות אלה יעוכבו בגרסה אחת עבור משתמשי אנדרואיד ו-iOS, עם אזהרה שמתחילה ב-Chrome 83. גוגל טוענת שמכיוון שלפלטפורמות סלולריות יש הגנה טבעית טובה יותר מפני קבצים זדוניים, העיכוב ייתן למפתחים התחלה לעדכון אתרי האינטרנט שלהם לפני שהמשתמשים יושפעו. מפתחים יכולים להבטיח שהורדות משתמשות ב-HTTPS רק למקרה שהם לא רוצים שמשתמשים יראו אזהרת הורדה.

בנוסף, בגרסה הנוכחית של Chrome Canary, או ב-Chrome 81 לאחר שחרורו, מפתחים יכולים גם להפעיל אזהרה ב- כל הורדות התוכן המעורב לבדיקה על ידי הפעלת "התייחס להורדות מסוכנות דרך חיבורים לא מאובטחים כתוכן מעורב פעיל" דֶגֶל. גוגל מתכננת להגביל עוד יותר הורדות לא מאובטחות בגוגל כרום בעתיד ולכך, החברה קראה למפתחים לעבור באופן מלא ל-HTTPS כדי להימנע מהגבלות.

מָקוֹר: בלוג האבטחה של Google