Google Chrome kommer snart att blockera osäkra nedladdningar på HTTPS-sidor

Enligt ett nyligen publicerat säkerhetsblogginlägg från Google kommer Google Chrome snart att blockera osäkra nedladdningar på säkra HTTPS-sidor som börjar med Chrome 83.

Google nyligen rullade ut Chrome 80 stabil uppdatering till Android och desktop. Som en del av uppdateringen introducerade Google ett antal nya funktioner, inklusive funktionen för automatisk uppgradering av blandat innehåll vi fick reda på det i oktober förra året. Denna nya funktion är en del av Googles planerar att säkra webben med HTTPS. Nu, i ett försök att göra HTTPS-sidor ännu säkrare, kommer Google Chrome snart att blockera osäkra nedladdningar på säkra sidor.

I blogginlägget hävdar Google att osäkert nedladdade filer utgör en risk för användarnas integritet och säkerhet. Sådana filer kan lätt bytas ut mot skadlig programvara av angripare och de kan också riskera att läsas av avlyssnare. För att hantera dessa risker planerar företaget att så småningom ta bort stödet för osäkra nedladdningar i Google Chrome. Att blockera osäkra nedladdningar på HTTPS-sidor är det första steget som Google tar mot denna åtgärd. Detta är avgörande eftersom Chrome för närvarande inte indikerar användare att deras integritet och säkerhet är i fara när de laddar ner innehåll på säkra sidor.

Från och med Chrome 82, som förväntas släppas i april 2020, kommer Chrome gradvis att börja varna användare (som ses ovan) om nedladdningar av blandat innehåll. Dessa nedladdningar kommer att blockeras helt i ett senare skede. Denna ändring kommer först att påverka filtyper som utgör störst risk för användarna, som körbara filer, och sedan adressera fler filtyper i efterföljande utgåvor. Google hävdar att den gradvisa lanseringen är "designad för att snabbt minska de värsta riskerna, ge utvecklare en möjlighet att uppdatera webbplatser och minimera hur många varningar Chrome-användare måste se."

Till en början kommer Google att lansera dessa begränsningar för nedladdning av blandat innehåll på stationära plattformar, med början i Chrome 81. Här är den detaljerade tidslinjen för begränsningar på stationära plattformar:

  • I Chrome 81 (släpptes i mars 2020) och senare:
    • Chrome kommer att skriva ut ett konsolmeddelande som varnar för alla nedladdningar av blandat innehåll.
  • I Chrome 82 (släpptes i april 2020):
    • Chrome varnar för nedladdningar av blandat innehåll eller körbara filer (t.ex. .exe).
  • I Chrome 83 (släppt juni 2020):
    • Chrome kommer att blockera körbara filer med blandat innehåll
    • Chrome kommer att varna för arkiv med blandat innehåll (.zip) och diskavbildningar (.iso).
  • I Chrome 84 (släpptes i augusti 2020):
    • Chrome kommer att blockera körbara filer med blandat innehåll, arkiv och diskbilder
    • Chrome varnar för alla andra nedladdningar av blandat innehåll förutom bild-, ljud-, video- och textformat.
  • I Chrome 85 (släpptes i september 2020):
    • Chrome varnar för nedladdning av blandat innehåll av bilder, ljud, video och text
    • Chrome blockerar alla andra nedladdningar av blandat innehåll
  • I Chrome 86 (släpps i oktober 2020) och senare kommer Chrome att blockera alla nedladdningar av blandat innehåll.

Dessa begränsningar kommer att försenas med en version för Android- och iOS-användare, med en varning som börjar i Chrome 83. Google hävdar att eftersom mobila plattformar har bättre inbyggt skydd mot skadliga filer, kommer förseningen att ge utvecklare ett försprång mot att uppdatera sina webbplatser innan användarna påverkas. Utvecklare kan se till att nedladdningar endast använder HTTPS om de inte vill att användarna någonsin ska se en nedladdningsvarning.

Dessutom, i den nuvarande versionen av Chrome Canary, eller i Chrome 81 när den väl har släppts, kan utvecklare också aktivera en varning på alla nedladdningar av blandat innehåll för testning genom att aktivera "Behandla riskabla nedladdningar över osäkra anslutningar som aktivt blandat innehåll" flagga. Google planerar att ytterligare begränsa osäkra nedladdningar i Google Chrome i framtiden och i detta syfte har företaget uppmanat utvecklare att helt migrera till HTTPS för att undvika restriktioner.


Källa: Googles säkerhetsblogg