Согласно недавнему сообщению в блоге Google по безопасности, Google Chrome вскоре будет блокировать небезопасные загрузки на защищенных HTTPS-страницах, начиная с Chrome 83.
Google недавно выпустил Chrome 80 стабильное обновление для Android и рабочего стола. В рамках обновления Google представил ряд новых функций, в том числе функцию автоматического обновления смешанного контента. мы узнали об этом еще в октябре в прошлом году. Эта новая функция является частью Google планирую защитить Интернет с HTTPS. Теперь, стремясь сделать HTTPS-страницы еще более безопасными, Google Chrome в ближайшее время также будет блокировать небезопасные загрузки на защищенных страницах.
В своем блоге Google утверждает, что небезопасно загружаемые файлы представляют угрозу конфиденциальности и безопасности пользователей. Такие файлы могут быть легко заменены злоумышленниками на вредоносное ПО, а также они могут быть прочитаны злоумышленниками. Чтобы устранить эти риски, компания планирует в конечном итоге прекратить поддержку небезопасных загрузок в Google Chrome. Блокировка небезопасных загрузок на страницах HTTPS — это первый шаг Google в направлении этой меры. Это очень важно, поскольку в настоящее время Chrome не сообщает пользователям, что их конфиденциальность и безопасность находятся под угрозой, когда они загружают контент на защищенных страницах.
Начиная с Chrome 82, выпуск которого ожидается в апреле 2020 года, Chrome постепенно начнет предупреждать пользователей (как показано выше) о загрузке смешанного контента. Эти загрузки будут полностью заблокированы на более позднем этапе. Это изменение сначала повлияет на типы файлов, которые представляют наибольший риск для пользователей, например исполняемые файлы, а затем в последующих выпусках будет затронуто больше типов файлов. Google утверждает, что постепенное развертывание «предназначено для быстрого снижения наихудших рисков, предоставления разработчикам возможности обновлять сайты и минимизировать количество предупреждений, которые должны видеть пользователи Chrome».
Сначала Google введет эти ограничения на загрузку смешанного контента на настольных платформах, начиная с Chrome 81. Вот подробный график ограничений на настольных платформах:
- В Chrome 81 (выпущенном в марте 2020 г.) и более поздних версиях:
- Chrome выведет консольное сообщение, предупреждающее обо всех загрузках смешанного контента.
- В Chrome 82 (выпущенном в апреле 2020 г.):
- Chrome будет предупреждать о загрузке смешанного контента или исполняемых файлов (например, .exe).
- В Chrome 83 (выпущен в июне 2020 г.):
- Chrome будет блокировать исполняемые файлы со смешанным содержимым
- Chrome будет предупреждать об архивах со смешанным содержимым (.zip) и образах дисков (.iso).
- В Chrome 84 (выпущен в августе 2020 г.):
- Chrome будет блокировать исполняемые файлы, архивы и образы дисков со смешанным содержимым
- Chrome будет предупреждать о загрузке любого другого смешанного контента, кроме изображений, аудио, видео и текстовых форматов.
- В Chrome 85 (выпущенном в сентябре 2020 г.):
- Chrome будет предупреждать о загрузке смешанного контента: изображений, аудио, видео и текста
- Chrome заблокирует все остальные загрузки смешанного контента
- В Chrome 86 (выпущенном в октябре 2020 г.) и более поздних версиях Chrome будет блокировать все загрузки смешанного контента.
Эти ограничения будут отложены на один выпуск для пользователей Android и iOS, а предупреждение появится в Chrome 83. Google утверждает, что, поскольку мобильные платформы имеют лучшую встроенную защиту от вредоносных файлов, задержка даст разработчикам преимущество в обновлении своих веб-сайтов до того, как это повлияет на пользователей. Разработчики могут гарантировать, что при загрузке будет использоваться только HTTPS, если они не хотят, чтобы пользователи когда-либо видели предупреждение о загрузке.
Кроме того, в текущей версии Chrome Canary или в Chrome 81 после его выпуска разработчики также могут активировать предупреждение о все загрузки смешанного контента для тестирования, включив параметр «Рассматривать рискованные загрузки через небезопасные соединения как активный смешанный контент». флаг. Google планирует и дальше ограничивать небезопасные загрузки в Google Chrome в будущем, и в связи с этим компания призвала разработчиков полностью перейти на HTTPS, чтобы избежать ограничений.
Источник: Блог Google по безопасности