Према недавном Гоогле безбедносном блогу, Гоогле Цхроме ће ускоро блокирати несигурна преузимања на безбедним ХТТПС страницама почевши од Цхроме-а 83.
Гоогле недавно представио Цхроме 80 стабилно ажурирање за Андроид и десктоп. Као део ажурирања, Гоогле је представио низ нових функција, укључујући функцију аутоматске надоградње мешовитог садржаја сазнали смо још у октобру прошле године. Ова нова функција је део Гоогле-ове планирате да обезбедите веб са ХТТПС-ом. Сада, у покушају да ХТТПС странице буду још безбедније, Гоогле Цхроме ће такође ускоро блокирати несигурна преузимања на безбедним страницама.
У посту на блогу, Гоогле тврди да несигурно преузете датотеке представљају ризик за приватност и безбедност корисника. Такве датотеке нападачи лако могу заменити малвером, а такође могу бити изложени ризику да их прислушкивачи прочитају. Да би се позабавила овим ризицима, компанија планира да на крају уклони подршку за несигурна преузимања у Гоогле Цхроме-у. Блокирање несигурних преузимања на ХТТПС страницама је први корак који Гоогле предузима ка овој мери. Ово је кључно јер тренутно Цхроме не указује корисницима да су њихова приватност и безбедност угрожени док преузимају садржај на безбедним страницама.
Почевши од Цхроме-а 82, за који се очекује да ће бити објављен у априлу 2020., Цхроме ће постепено почети да упозорава кориснике (као што се види изнад) о преузимањима мешовитог садржаја. Ова преузимања ће бити потпуно блокирана у каснијој фази. Ова промена ће прво утицати на типове датотека који представљају највећи ризик за кориснике, као што су извршне датотеке, а затим ће се позабавити више типова датотека у наредним издањима. Гоогле тврди да је постепено увођење „дизајнирано да брзо ублажи најгоре ризике, пружи програмерима прилику да ажурирају сајтове и минимизира колико упозорења корисници Цхроме-а морају да виде“.
У почетку, Гоогле ће увести ова ограничења за преузимање мешовитог садржаја на десктоп платформама, почевши од Цхроме-а 81. Ево детаљног временског оквира за ограничења на десктоп платформама:
- У Цхроме-у 81 (објављен у марту 2020.) и касније:
- Цхроме ће одштампати поруку конзоле са упозорењем о свим преузимањима мешовитог садржаја.
- У Цхроме-у 82 (објављен у априлу 2020.):
- Цхроме ће упозорити на преузимања мешовитог садржаја или извршне датотеке (нпр. .еке).
- У Цхроме-у 83 (објављен у јуну 2020.):
- Цхроме ће блокирати извршне датотеке са мешовитим садржајем
- Цхроме ће упозорити на архиве мешовитог садржаја (.зип) и слике дискова (.исо).
- У Цхроме 84 (објављен у августу 2020.):
- Цхроме ће блокирати извршне датотеке мешовитог садржаја, архиве и слике диска
- Цхроме ће упозорити на сва друга преузимања мешовитог садржаја осим сликовних, аудио, видео и текстуалних формата.
- У Цхроме 85 (објављен у септембру 2020.):
- Цхроме ће упозорити на преузимање мешовитог садржаја слика, звука, видеа и текста
- Цхроме ће блокирати сва друга преузимања мешовитог садржаја
- У Цхроме-у 86 (објављен у октобру 2020.) и касније, Цхроме ће блокирати сва преузимања мешовитог садржаја.
Ова ограничења ће бити одложена за једно издање за Андроид и иОС кориснике, а упозорење почиње у Цхроме 83. Гоогле тврди да, будући да мобилне платформе имају бољу изворну заштиту од злонамерних датотека, кашњење ће програмерима дати предност у правцу ажурирања својих веб локација пре него што то утиче на кориснике. Програмери могу да осигурају да преузимања користе само ХТТПС у случају да не желе да корисници икада виде упозорење о преузимању.
Поред тога, у тренутној верзији Цхроме Цанари-а или у Цхроме-у 81 када је објављен, програмери такође могу да активирају упозорење на сва преузимања мешовитог садржаја за тестирање омогућавањем „Третирај ризична преузимања преко несигурних веза као активни мешовити садржај“ застава. Гоогле планира да у будућности додатно ограничи несигурна преузимања у Гоогле Цхроме-у и у том смислу компанија је позвала програмере да у потпуности пређу на ХТТПС како би избегли ограничења.
Извор: Гоогле безбедносни блог