Volgens een recente beveiligingsblogpost van Google zal Google Chrome binnenkort onveilige downloads op beveiligde HTTPS-pagina's blokkeren, te beginnen met Chrome 83.
Google onlangs heeft de Chrome 80 uitgerold stabiele update voor Android en desktop. Als onderdeel van de update heeft Google een aantal nieuwe functies geïntroduceerd, waaronder de automatische upgrade van gemengde inhoud waar we in oktober over hoorden afgelopen jaar. Deze nieuwe functie is onderdeel van Google plan om het internet te beveiligen met HTTPS. In een poging om HTTPS-pagina’s nog veiliger te maken, zal Google Chrome binnenkort ook onveilige downloads op beveiligde pagina’s blokkeren.
In de blogpost beweert Google dat onveilig gedownloade bestanden een risico vormen voor de privacy en veiligheid van gebruikers. Dergelijke bestanden kunnen door aanvallers gemakkelijk worden vervangen door malware en ze lopen ook het risico te worden gelezen door afluisteraars. Om deze risico's aan te pakken, is het bedrijf van plan om uiteindelijk de ondersteuning voor onveilige downloads in Google Chrome te verwijderen. Het blokkeren van onveilige downloads op HTTPS-pagina's is de eerste stap die Google zet in de richting van deze maatregel. Dit is van cruciaal belang omdat Chrome gebruikers momenteel niet aangeeft dat hun privacy en veiligheid in gevaar zijn terwijl ze inhoud downloaden op beveiligde pagina's.
Vanaf Chrome 82, dat naar verwachting in april 2020 wordt uitgebracht, zal Chrome gebruikers geleidelijk gaan waarschuwen (zoals hierboven te zien) over downloads van gemengde inhoud. Deze downloads worden in een later stadium volledig geblokkeerd. Deze wijziging heeft eerst gevolgen voor de bestandstypen die het meeste risico voor gebruikers vormen, zoals uitvoerbare bestanden, en zal vervolgens in volgende releases meer bestandstypen aanpakken. Google beweert dat de geleidelijke uitrol "bedoeld is om de ergste risico's snel te beperken, ontwikkelaars de mogelijkheid te bieden sites bij te werken en het aantal waarschuwingen dat Chrome-gebruikers te zien krijgen te minimaliseren."
In eerste instantie zal Google deze beperkingen op het downloaden van gemengde inhoud op desktopplatforms uitrollen, te beginnen met Chrome 81. Hier is de gedetailleerde tijdlijn voor beperkingen op desktopplatforms:
- In Chrome 81 (uitgebracht in maart 2020) en hoger:
- Chrome drukt een consolebericht af met een waarschuwing over alle downloads van gemengde inhoud.
- In Chrome 82 (uitgebracht in april 2020):
- Chrome waarschuwt bij downloads van gemengde inhoud of uitvoerbare bestanden (bijv. .exe).
- In Chrome 83 (uitgebracht in juni 2020):
- Chrome blokkeert uitvoerbare bestanden met gemengde inhoud
- Chrome waarschuwt voor archieven met gemengde inhoud (.zip) en schijfkopieën (.iso).
- In Chrome 84 (uitgebracht in augustus 2020):
- Chrome blokkeert uitvoerbare bestanden met gemengde inhoud, archieven en schijfkopieën
- Chrome waarschuwt bij alle andere downloads van gemengde inhoud, behalve beeld-, audio-, video- en tekstformaten.
- In Chrome 85 (uitgebracht in september 2020):
- Chrome waarschuwt bij downloads van gemengde inhoud van afbeeldingen, audio, video en tekst
- Chrome blokkeert alle andere downloads van gemengde inhoud
- In Chrome 86 (uitgebracht in oktober 2020) en later blokkeert Chrome alle downloads van gemengde inhoud.
Deze beperkingen worden met één release uitgesteld voor Android- en iOS-gebruikers, met waarschuwing vanaf Chrome 83. Google beweert dat, aangezien mobiele platforms een betere native bescherming tegen kwaadaardige bestanden hebben, de vertraging ontwikkelaars een voorsprong zal geven bij het updaten van hun websites voordat gebruikers er last van krijgen. Ontwikkelaars kunnen ervoor zorgen dat downloads alleen HTTPS gebruiken als ze niet willen dat gebruikers ooit een downloadwaarschuwing zien.
Bovendien kunnen ontwikkelaars in de huidige versie van Chrome Canary, of in Chrome 81 zodra deze is uitgebracht, ook een waarschuwing activeren alle downloads van gemengde inhoud voor testen door de optie "Behandel risicovolle downloads via onveilige verbindingen als actieve gemengde inhoud" in te schakelen vlag. Google is van plan om in de toekomst onveilige downloads in Google Chrome verder te beperken en daarom heeft het bedrijf er bij ontwikkelaars op aangedrongen volledig naar HTTPS te migreren om beperkingen te vermijden.
Bron: Google-beveiligingsblog