Google Chrome vil snart blokkere usikre nedlastinger på HTTPS-sider

I følge et nylig Google sikkerhetsblogginnlegg vil Google Chrome snart blokkere usikre nedlastinger på sikre HTTPS-sider som starter med Chrome 83.

Google nylig rullet ut Chrome 80 stabil oppdatering til Android og desktop. Som en del av oppdateringen introduserte Google en rekke nye funksjoner, inkludert funksjonen for automatisk oppgradering av blandet innhold vi lærte om tilbake i oktober i fjor. Denne nye funksjonen er en del av Googles planlegger å sikre nettet med HTTPS. Nå, i et forsøk på å gjøre HTTPS-sider enda sikrere, vil Google Chrome også blokkere usikre nedlastinger på sikre sider snart.

I blogginnlegget hevder Google at usikre nedlastede filer utgjør en risiko for brukernes personvern og sikkerhet. Slike filer kan enkelt byttes ut med skadelig programvare av angripere, og de kan også risikere å bli lest av avlyttere. For å håndtere disse risikoene planlegger selskapet å fjerne støtten for usikre nedlastinger i Google Chrome. Blokkering av usikre nedlastinger på HTTPS-sider er det første skrittet Google tar mot dette tiltaket. Dette er avgjørende fordi Chrome foreløpig ikke indikerer brukere at deres personvern og sikkerhet er i fare mens de laster ned innhold på sikre sider.

Fra og med Chrome 82, som forventes å bli utgitt i april 2020, vil Chrome gradvis begynne å advare brukere (som vist ovenfor) om nedlasting av blandet innhold. Disse nedlastingene vil bli blokkert fullstendig på et senere tidspunkt. Denne endringen vil først påvirke filtyper som utgjør mest risiko for brukere, som kjørbare filer, og deretter adressere flere filtyper i påfølgende utgivelser. Google hevder at den gradvise utrullingen er "utformet for å redusere de verste risikoene raskt, gi utviklere en mulighet til å oppdatere nettsteder og minimere hvor mange advarsler Chrome-brukere må se."

Til å begynne med vil Google rulle ut disse restriksjonene for nedlasting av blandet innhold på stasjonære plattformer, og starter med Chrome 81. Her er den detaljerte tidslinjen for restriksjoner på stasjonære plattformer:

  • I Chrome 81 (utgitt mars 2020) og senere:
    • Chrome vil skrive ut en konsollmelding som advarer om alt nedlasting av blandet innhold.
  • I Chrome 82 (utgitt april 2020):
    • Chrome vil advare ved nedlasting av blandet innhold eller kjørbare filer (f.eks. .exe).
  • I Chrome 83 (utgitt juni 2020):
    • Chrome blokkerer kjørbare blandet innhold
    • Chrome vil advare mot arkiver med blandet innhold (.zip) og diskbilder (.iso).
  • I Chrome 84 (utgitt august 2020):
    • Chrome vil blokkere blandet innhold kjørbare, arkiver og diskbilder
    • Chrome vil advare mot alle andre nedlastinger av blandet innhold unntatt bilde-, lyd-, video- og tekstformater.
  • I Chrome 85 (utgitt september 2020):
    • Chrome vil advare ved nedlasting av blandet innhold av bilder, lyd, video og tekst
    • Chrome blokkerer alle andre nedlastinger av blandet innhold
  • I Chrome 86 (utgitt oktober 2020) og utover vil Chrome blokkere alt nedlasting av blandet innhold.

Disse begrensningene vil bli forsinket med én utgivelse for Android- og iOS-brukere, med advarsel som starter i Chrome 83. Google hevder at siden mobilplattformer har bedre innfødt beskyttelse mot ondsinnede filer, vil forsinkelsen gi utviklere et forsprang mot å oppdatere nettsidene sine før brukerne blir berørt. Utviklere kan sikre at nedlastinger bare bruker HTTPS i tilfelle de ikke vil at brukere noen gang skal se en nedlastingsadvarsel.

I tillegg, i den nåværende versjonen av Chrome Canary, eller i Chrome 81 når den er utgitt, kan utviklere også aktivere en advarsel på alle nedlastinger av blandet innhold for testing ved å aktivere "Behandle risikable nedlastinger over usikre tilkoblinger som aktivt blandet innhold" flagg. Google planlegger å begrense usikre nedlastinger i Google Chrome ytterligere i fremtiden, og i den forbindelse har selskapet oppfordret utviklere til å migrere fullstendig til HTTPS for å unngå restriksjoner.


Kilde: Google Sikkerhetsblogg