Podľa nedávneho bezpečnostného blogového príspevku Google bude Google Chrome čoskoro blokovať nezabezpečené sťahovanie na zabezpečených HTTPS stránkach počnúc Chrome 83.
Google nedávno predstavil Chrome 80 stabilná aktualizácia pre Android a desktop. V rámci aktualizácie Google predstavil množstvo nových funkcií vrátane funkcie automatickej aktualizácie zmiešaného obsahu dozvedeli sme sa o tom ešte v októbri minulý rok. Táto nová funkcia je súčasťou Google plán na zabezpečenie webu s HTTPS. Teraz, v snahe zvýšiť bezpečnosť stránok HTTPS, bude Google Chrome čoskoro blokovať aj nezabezpečené sťahovanie na zabezpečených stránkach.
V blogovom príspevku Google tvrdí, že neisto stiahnuté súbory predstavujú riziko pre súkromie a bezpečnosť používateľov. Takéto súbory môžu útočníci ľahko vymeniť za škodlivý softvér a môžu byť tiež vystavené riziku, že ich prečítajú odpočúvajúci. S cieľom vyriešiť tieto riziká spoločnosť plánuje časom odstrániť podporu pre nezabezpečené sťahovanie v prehliadači Google Chrome. Blokovanie nezabezpečeného sťahovania na stránkach HTTPS je prvým krokom, ktorý spoločnosť Google robí smerom k tomuto opatreniu. Je to dôležité, pretože prehliadač Chrome v súčasnosti nenaznačuje používateľom, že ich súkromie a bezpečnosť sú pri sťahovaní obsahu na zabezpečených stránkach ohrozené.
Počnúc verziou Chrome 82, ktorej vydanie sa očakáva v apríli 2020, Chrome postupne začne upozorňovať používateľov (ako je uvedené vyššie) na sťahovanie zmiešaného obsahu. Tieto sťahovanie bude v neskoršej fáze úplne zablokované. Táto zmena najskôr ovplyvní typy súborov, ktoré predstavujú najväčšie riziko pre používateľov, ako sú spustiteľné súbory, a potom sa v nasledujúcich vydaniach zameria na ďalšie typy súborov. Google tvrdí, že postupné zavádzanie je „navrhnuté tak, aby rýchlo zmiernilo najhoršie riziká, poskytlo vývojárom príležitosť aktualizovať stránky a minimalizovalo počet upozornení, ktoré musia používatelia prehliadača Chrome vidieť.“
Spoločnosť Google najskôr zavedie tieto obmedzenia na sťahovanie zmiešaného obsahu na platformách pre stolné počítače, počnúc verziou Chrome 81. Tu je podrobná časová os obmedzení na desktopových platformách:
- V prehliadači Chrome 81 (vydaný v marci 2020) a novších:
- Chrome vytlačí správu konzoly s upozornením na všetky preberania zmiešaného obsahu.
- V prehliadači Chrome 82 (vydaný v apríli 2020):
- Chrome vás upozorní na sťahovanie zmiešaného obsahu alebo spustiteľných súborov (napr. .exe).
- V Chrome 83 (vydané v júni 2020):
- Chrome bude blokovať spustiteľné súbory so zmiešaným obsahom
- Chrome vás upozorní na archívy so zmiešaným obsahom (.zip) a obrazy diskov (.iso).
- V Chrome 84 (vydané v auguste 2020):
- Chrome bude blokovať spustiteľné súbory so zmiešaným obsahom, archívy a obrazy diskov
- Chrome vás upozorní na všetky ostatné stiahnuté zmiešané obsahy okrem obrázkov, zvuku, videa a textových formátov.
- V Chrome 85 (vydané v septembri 2020):
- Chrome vás upozorní na sťahovanie zmiešaného obsahu obrázkov, zvuku, videa a textu
- Chrome zablokuje všetky ostatné sťahovanie zmiešaného obsahu
- V prehliadači Chrome 86 (vydaný v októbri 2020) a neskôr bude Chrome blokovať sťahovanie všetkého zmiešaného obsahu.
Tieto obmedzenia budú oneskorené o jedno vydanie pre používateľov Android a iOS, pričom varovanie sa začne v Chrome 83. Google tvrdí, že keďže mobilné platformy majú lepšiu natívnu ochranu pred škodlivými súbormi, oneskorenie poskytne vývojárom náskok pri aktualizácii svojich webových stránok skôr, ako budú ovplyvnení používatelia. Vývojári môžu zabezpečiť, aby sťahovanie používalo iba HTTPS v prípade, že nechcú, aby sa používateľom niekedy zobrazovalo upozornenie na stiahnutie.
Okrem toho v aktuálnej verzii prehliadača Chrome Canary alebo v prehliadači Chrome 81 po vydaní môžu vývojári aktivovať upozornenie na všetky sťahovanie zmiešaného obsahu na testovanie povolením možnosti „Považovať rizikové sťahovanie cez nezabezpečené pripojenia za aktívny zmiešaný obsah“ vlajka. Google plánuje v budúcnosti ďalej obmedziť nezabezpečené sťahovanie v prehliadači Google Chrome a na tento účel spoločnosť vyzvala vývojárov, aby plne migrovali na HTTPS, aby sa vyhli obmedzeniam.
Zdroj: Blog zabezpečenia Google