Google Chrome จะบล็อกการดาวน์โหลดที่ไม่ปลอดภัยบนหน้า HTTPS เร็วๆ นี้

สรุปข่าว XdaNov 15, 2023

ตามโพสต์บล็อกการรักษาความปลอดภัยของ Google เมื่อเร็ว ๆ นี้ Google Chrome จะบล็อกการดาวน์โหลดที่ไม่ปลอดภัยบนหน้า HTTPS ที่ปลอดภัยเริ่มต้นด้วย Chrome 83 ในไม่ช้า

Google เมื่อเร็วๆ นี้ เปิดตัว Chrome 80 การอัปเดตที่เสถียรสำหรับ Android และเดสก์ท็อป ในส่วนหนึ่งของการอัปเดต Google ได้เปิดตัวคุณลักษณะใหม่จำนวนหนึ่ง รวมถึงคุณลักษณะเนื้อหาแบบผสมที่อัปเกรดอัตโนมัติ เราได้เรียนรู้ย้อนกลับไปในเดือนตุลาคม ปีที่แล้ว. คุณลักษณะใหม่นี้เป็นส่วนหนึ่งของ Google วางแผนที่จะรักษาความปลอดภัยของเว็บ ด้วย HTTPS ในตอนนี้ เพื่อทำให้หน้า HTTPS ปลอดภัยยิ่งขึ้น Google Chrome จะบล็อกการดาวน์โหลดที่ไม่ปลอดภัยบนหน้าที่ปลอดภัยในเร็วๆ นี้

ในบล็อกโพสต์ Google อ้างว่าไฟล์ที่ดาวน์โหลดอย่างไม่ปลอดภัยมีความเสี่ยงต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ ผู้โจมตีสามารถเปลี่ยนไฟล์ดังกล่าวเป็นมัลแวร์ได้อย่างง่ายดาย และอาจเสี่ยงที่ผู้ดักฟังจะอ่านได้ เพื่อจัดการกับความเสี่ยงเหล่านี้ บริษัทวางแผนที่จะลบการสนับสนุนการดาวน์โหลดที่ไม่ปลอดภัยใน Google Chrome ออกไปในที่สุด การบล็อกการดาวน์โหลดที่ไม่ปลอดภัยบนหน้า HTTPS เป็นขั้นตอนแรกที่ Google ดำเนินการเพื่อมาตรการนี้ นี่เป็นสิ่งสำคัญเนื่องจากในปัจจุบัน Chrome ไม่ได้ระบุผู้ใช้ว่าความเป็นส่วนตัวและความปลอดภัยของตนมีความเสี่ยงในขณะที่พวกเขากำลังดาวน์โหลดเนื้อหาบนหน้าเว็บที่ปลอดภัย

เริ่มต้นด้วย Chrome 82 ซึ่งคาดว่าจะเปิดตัวในเดือนเมษายน 2020 Chrome จะค่อยๆ เริ่มเตือนผู้ใช้ (ดังที่แสดงด้านบน) เกี่ยวกับการดาวน์โหลดเนื้อหาแบบผสม การดาวน์โหลดเหล่านี้จะถูกบล็อกโดยสิ้นเชิงในภายหลัง การเปลี่ยนแปลงนี้จะส่งผลต่อประเภทไฟล์ที่ก่อให้เกิดความเสี่ยงต่อผู้ใช้มากที่สุด เช่น ไฟล์ปฏิบัติการ จากนั้นจึงระบุประเภทไฟล์เพิ่มเติมในรุ่นต่อๆ ไป Google อ้างว่าการเปิดตัวแบบค่อยเป็นค่อยไปนั้น "ออกแบบมาเพื่อลดความเสี่ยงที่เลวร้ายที่สุดอย่างรวดเร็ว ให้โอกาสนักพัฒนาในการอัปเดตไซต์ และลดจำนวนคำเตือนที่ผู้ใช้ Chrome ต้องเห็น"

ในตอนแรก Google จะเปิดตัวข้อจำกัดเหล่านี้ในการดาวน์โหลดเนื้อหาแบบผสมบนแพลตฟอร์มเดสก์ท็อป โดยเริ่มตั้งแต่ Chrome 81 ต่อไปนี้คือไทม์ไลน์โดยละเอียดสำหรับข้อจำกัดบนแพลตฟอร์มเดสก์ท็อป:

  • ใน Chrome 81 (เปิดตัวมีนาคม 2020) และใหม่กว่า:
    • Chrome จะพิมพ์คำเตือนข้อความคอนโซลเกี่ยวกับการดาวน์โหลดเนื้อหาแบบผสมทั้งหมด
  • ใน Chrome 82 (เผยแพร่เมื่อเดือนเมษายน 2020):
    • Chrome จะเตือนเมื่อมีการดาวน์โหลดเนื้อหาแบบผสมหรือไฟล์ปฏิบัติการ (เช่น .exe)
  • ใน Chrome 83 (เผยแพร่มิถุนายน 2020):
    • Chrome จะบล็อกไฟล์ปฏิบัติการที่มีเนื้อหาผสม
    • Chrome จะเตือนเกี่ยวกับไฟล์เก็บถาวรเนื้อหาแบบผสม (.zip) และดิสก์อิมเมจ (.iso)
  • ใน Chrome 84 (เผยแพร่เมื่อเดือนสิงหาคม 2020):
    • Chrome จะบล็อกไฟล์ปฏิบัติการ ไฟล์เก็บถาวร และอิมเมจของดิสก์ที่มีเนื้อหาผสม
    • Chrome จะเตือนการดาวน์โหลดเนื้อหาแบบผสมอื่นๆ ทั้งหมด ยกเว้นรูปแบบรูปภาพ เสียง วิดีโอ และข้อความ
  • ใน Chrome 85 (เผยแพร่เมื่อเดือนกันยายน 2020):
    • Chrome จะเตือนเมื่อมีการดาวน์โหลดรูปภาพ เสียง วิดีโอ และข้อความที่มีเนื้อหาผสม
    • Chrome จะบล็อกการดาวน์โหลดเนื้อหาผสมอื่นๆ ทั้งหมด
  • ใน Chrome 86 (เปิดตัวเดือนตุลาคม 2020) และหลังจากนั้น Chrome จะบล็อกการดาวน์โหลดเนื้อหาแบบผสมทั้งหมด

ข้อจำกัดเหล่านี้จะล่าช้าออกไปหนึ่งรุ่นสำหรับผู้ใช้ Android และ iOS โดยมีคำเตือนเริ่มใน Chrome 83 Google อ้างว่าเนื่องจากแพลตฟอร์มมือถือมีการป้องกันไฟล์ที่เป็นอันตรายได้ดีกว่า ความล่าช้าจะทำให้นักพัฒนาสามารถเริ่มต้นอัปเดตเว็บไซต์ของตนได้ก่อนที่ผู้ใช้จะได้รับผลกระทบ นักพัฒนาซอฟต์แวร์สามารถมั่นใจได้ว่าการดาวน์โหลดจะใช้ HTTPS เท่านั้น ในกรณีที่ไม่ต้องการให้ผู้ใช้เห็นคำเตือนการดาวน์โหลด

นอกจากนี้ ใน Chrome Canary เวอร์ชันปัจจุบันหรือใน Chrome 81 เมื่อเปิดตัวแล้ว นักพัฒนายังสามารถเปิดใช้งานคำเตือนบน การดาวน์โหลดเนื้อหาแบบผสมทั้งหมดสำหรับการทดสอบโดยเปิดใช้งานตัวเลือก "ถือว่าการดาวน์โหลดที่มีความเสี่ยงผ่านการเชื่อมต่อที่ไม่ปลอดภัยเป็นเนื้อหาแบบผสมที่ใช้งานอยู่" ธง. Google วางแผนที่จะจำกัดการดาวน์โหลดที่ไม่ปลอดภัยใน Google Chrome เพิ่มเติมในอนาคต และด้วยเหตุนี้ บริษัทจึงได้เรียกร้องให้นักพัฒนาย้ายไปยัง HTTPS โดยสมบูรณ์เพื่อหลีกเลี่ยงข้อจำกัด

แหล่งที่มา: บล็อกการรักษาความปลอดภัยของ Google