O Google Chrome bloqueará em breve downloads inseguros em páginas HTTPS

Resumo Da Notícia XdaNov 15, 2023

De acordo com uma postagem recente no blog de segurança do Google, o Google Chrome bloqueará em breve downloads inseguros em páginas HTTPS seguras a partir do Chrome 83.

Google recentemente lançou o Chrome 80 atualização estável para Android e desktop. Como parte da atualização, o Google introduziu uma série de novos recursos, incluindo o recurso de atualização automática de conteúdo misto aprendemos sobre isso em outubro ano passado. Este novo recurso faz parte do Google planeje proteger a web com HTTPS. Agora, em uma tentativa de tornar as páginas HTTPS ainda mais seguras, o Google Chrome também bloqueará downloads inseguros em páginas seguras em breve.

Na postagem do blog, o Google afirma que os arquivos baixados de forma insegura são um risco à privacidade e segurança dos usuários. Esses arquivos podem ser facilmente trocados por malware por invasores e também correm o risco de serem lidos por bisbilhoteiros. Para enfrentar esses riscos, a empresa planeja eventualmente remover o suporte para downloads inseguros no Google Chrome. Bloquear downloads inseguros em páginas HTTPS é o primeiro passo que o Google está dando em direção a essa medida. Isso é crucial porque atualmente o Chrome não indica aos usuários que sua privacidade e segurança estão em risco enquanto baixam conteúdo em páginas seguras.

A partir do Chrome 82, com lançamento previsto para abril de 2020, o Chrome começará gradualmente a alertar os usuários (como visto acima) sobre downloads de conteúdo misto. Esses downloads serão completamente bloqueados posteriormente. Essa alteração afetará primeiro os tipos de arquivos que representam maior risco para os usuários, como executáveis, e depois abordará mais tipos de arquivos nas versões subsequentes. O Google afirma que a implementação gradual é “projetada para mitigar rapidamente os piores riscos, fornecer aos desenvolvedores a oportunidade de atualizar sites e minimizar quantos avisos os usuários do Chrome precisam ver”.

A princípio, o Google implementará essas restrições para downloads de conteúdo misto em plataformas de desktop, começando com o Chrome 81. Aqui está o cronograma detalhado para restrições em plataformas de desktop:

  • No Chrome 81 (lançado em março de 2020) e posteriores:
    • O Chrome imprimirá uma mensagem do console avisando sobre todos os downloads de conteúdo misto.
  • No Chrome 82 (lançado em abril de 2020):
    • O Chrome avisará sobre downloads de conteúdo misto ou executáveis ​​(por exemplo, .exe).
  • No Chrome 83 (lançado em junho de 2020):
    • O Chrome bloqueará executáveis ​​de conteúdo misto
    • O Chrome avisará sobre arquivos de conteúdo misto (.zip) e imagens de disco (.iso).
  • No Chrome 84 (lançado em agosto de 2020):
    • O Chrome bloqueará executáveis, arquivos e imagens de disco de conteúdo misto
    • O Chrome avisará sobre todos os outros downloads de conteúdo misto, exceto formatos de imagem, áudio, vídeo e texto.
  • No Chrome 85 (lançado em setembro de 2020):
    • O Chrome alertará sobre downloads de conteúdo misto de imagens, áudio, vídeo e texto
    • O Chrome bloqueará todos os outros downloads de conteúdo misto
  • No Chrome 86 (lançado em outubro de 2020) e posteriores, o Chrome bloqueará todos os downloads de conteúdo misto.

Essas restrições serão adiadas em um lançamento para usuários de Android e iOS, com aviso a partir do Chrome 83. O Google afirma que, como as plataformas móveis têm melhor proteção nativa contra arquivos maliciosos, o atraso dará aos desenvolvedores uma vantagem inicial na atualização de seus sites antes que os usuários sejam afetados. Os desenvolvedores podem garantir que os downloads usem apenas HTTPS caso não queiram que os usuários vejam um aviso de download.

Além disso, na versão atual do Chrome Canary, ou no Chrome 81, uma vez lançado, os desenvolvedores também podem ativar um aviso em todos os downloads de conteúdo misto para teste, ativando a opção "Tratar downloads arriscados em conexões inseguras como conteúdo misto ativo" bandeira. O Google planeja restringir ainda mais os downloads inseguros no Google Chrome no futuro e, para esse efeito, a empresa instou os desenvolvedores a migrarem totalmente para HTTPS, a fim de evitar restrições.

Fonte: Blog de segurança do Google