Google Chrome wkrótce będzie blokować niezabezpieczone pobieranie na stronach HTTPS

Krótkie Wiadomości XdaNov 15, 2023

Zgodnie z niedawnym postem na blogu poświęconym bezpieczeństwu Google, przeglądarka Google Chrome wkrótce będzie blokować niezabezpieczone pobieranie na bezpiecznych stronach HTTPS, począwszy od przeglądarki Chrome 83.

Google niedawno wypuścił Chrome 80 stabilna aktualizacja do Androida i komputera stacjonarnego. W ramach aktualizacji Google wprowadziło szereg nowych funkcji, w tym funkcję automatycznego uaktualniania treści mieszanych dowiedzieliśmy się już w październiku ostatni rok. Ta nowa funkcja jest częścią funkcji Google planujesz zabezpieczyć sieć z HTTPSem. Teraz, chcąc jeszcze bardziej zwiększyć bezpieczeństwo stron HTTPS, przeglądarka Google Chrome wkrótce będzie blokować także niezabezpieczone pobieranie na bezpiecznych stronach.

W poście na blogu Google twierdzi, że niebezpiecznie pobrane pliki stanowią zagrożenie dla prywatności i bezpieczeństwa użytkowników. Osoby atakujące mogą łatwo zamienić takie pliki na złośliwe oprogramowanie, a także mogą być narażone na ryzyko odczytania ich przez osoby podsłuchujące. Aby zaradzić tym zagrożeniom, firma planuje ostatecznie wycofać obsługę niezabezpieczonych plików do pobrania w przeglądarce Google Chrome. Blokowanie niezabezpieczonych plików do pobrania na stronach HTTPS to pierwszy krok, jaki Google podejmuje w tym kierunku. Jest to istotne, ponieważ obecnie Chrome nie sygnalizuje użytkownikom, że ich prywatność i bezpieczeństwo są zagrożone podczas pobierania treści z bezpiecznych stron.

Począwszy od przeglądarki Chrome 82, która ma zostać wydana w kwietniu 2020 r., przeglądarka Chrome będzie stopniowo ostrzegać użytkowników (jak pokazano powyżej) o pobieraniu mieszanej zawartości. Te pliki do pobrania zostaną całkowicie zablokowane na późniejszym etapie. Ta zmiana w pierwszej kolejności wpłynie na typy plików, które stanowią największe ryzyko dla użytkowników, np. pliki wykonywalne, a następnie w kolejnych wersjach obejmie więcej typów plików. Google twierdzi, że stopniowe wdrażanie „ma na celu szybkie ograniczenie najgorszych zagrożeń, zapewnienie programistom możliwości aktualizowania witryn i minimalizowanie liczby ostrzeżeń wyświetlanych użytkownikom Chrome”.

Początkowo Google wprowadzi te ograniczenia w przypadku pobierania treści mieszanych na platformy komputerowe, począwszy od przeglądarki Chrome 81. Oto szczegółowy harmonogram ograniczeń na platformach stacjonarnych:

  • W przeglądarce Chrome 81 (wydanej w marcu 2020 r.) i nowszych:
    • Chrome wydrukuje komunikat konsoli z ostrzeżeniem o wszystkich pobranych treściach mieszanych.
  • W przeglądarce Chrome 82 (wydanej w kwietniu 2020 r.):
    • Chrome wyświetli ostrzeżenie w przypadku pobierania mieszanej zawartości lub plików wykonywalnych (np. .exe).
  • W przeglądarce Chrome 83 (wydanej w czerwcu 2020 r.):
    • Chrome będzie blokować pliki wykonywalne o mieszanej zawartości
    • Chrome wyświetli ostrzeżenie w przypadku archiwów z mieszaną zawartością (.zip) i obrazów dysków (.iso).
  • W przeglądarce Chrome 84 (wydanej w sierpniu 2020 r.):
    • Chrome będzie blokować pliki wykonywalne, archiwa i obrazy dysków o mieszanej zawartości
    • Chrome wyświetli ostrzeżenie w przypadku wszystkich innych pobrań treści mieszanych z wyjątkiem formatów obrazów, audio, wideo i tekstowych.
  • W przeglądarce Chrome 85 (wydanej we wrześniu 2020 r.):
    • Chrome wyświetli ostrzeżenie w przypadku pobierania mieszanych treści obejmujących obrazy, dźwięk, wideo i tekst
    • Chrome zablokuje wszystkie inne pobieranie treści mieszanych
  • W przeglądarce Chrome 86 (wydanej w październiku 2020 r.) i nowszych wersjach Chrome będzie blokować pobieranie wszystkich treści mieszanych.

Te ograniczenia zostaną opóźnione o jedną wersję dla użytkowników Androida i iOS, z ostrzeżeniem rozpoczynającym się w przeglądarce Chrome 83. Google twierdzi, że skoro platformy mobilne mają lepszą natywną ochronę przed złośliwymi plikami, opóźnienie da programistom przewagę w aktualizowaniu swoich witryn internetowych, zanim będzie to miało wpływ na użytkowników. Programiści mogą zapewnić, że pobieranie będzie odbywało się wyłącznie przy użyciu protokołu HTTPS, na wypadek, gdyby nie chcieli, aby użytkownicy kiedykolwiek widzieli ostrzeżenie o pobieraniu.

Dodatkowo w aktualnej wersji przeglądarki Chrome Canary lub w wersji Chrome 81 po wydaniu programiści mogą również aktywować ostrzeżenie wszystkie pobierane treści mieszane do testowania, włączając opcję „Traktuj ryzykowne pobieranie przez niezabezpieczone połączenia jako aktywną zawartość mieszaną” flaga. Google planuje w przyszłości dalsze ograniczanie niebezpiecznego pobierania w przeglądarce Google Chrome i w tym celu firma nalegała, aby programiści przeprowadzili pełną migrację do protokołu HTTPS, aby uniknąć ograniczeń.

Źródło: Blog Google o bezpieczeństwie