Згідно з нещодавньою публікацією в блозі безпеки Google, Google Chrome незабаром блокуватиме незахищені завантаження на безпечних сторінках HTTPS, починаючи з Chrome 83.
Google нещодавно випустив Chrome 80 стабільне оновлення до Android і робочого столу. У рамках оновлення Google представив низку нових функцій, зокрема функцію автоматичного оновлення змішаного вмісту ми дізналися ще в жовтні минулого року. Ця нова функція є частиною Google планувати захистити Інтернет з HTTPS. Тепер, намагаючись зробити сторінки HTTPS ще безпечнішими, Google Chrome незабаром також блокуватиме незахищені завантаження на безпечних сторінках.
У дописі в блозі Google стверджує, що небезпечно завантажені файли становлять загрозу конфіденційності та безпеці користувачів. Зловмисники можуть легко замінити такі файли на зловмисне програмне забезпечення, а також вони можуть бути прочитані перехоплювачами. Щоб усунути ці ризики, компанія планує з часом прибрати підтримку незахищених завантажень у Google Chrome. Блокування незахищених завантажень на сторінках HTTPS є першим кроком, який Google робить для цього. Це надзвичайно важливо, оскільки наразі Chrome не повідомляє користувачам, що їхня конфіденційність і безпека під загрозою, коли вони завантажують вміст із безпечних сторінок.
Починаючи з Chrome 82, випуск якого очікується в квітні 2020 року, Chrome поступово почне попереджати користувачів (як показано вище) про завантаження змішаного вмісту. Пізніше ці завантаження буде повністю заблоковано. Ця зміна спочатку вплине на типи файлів, які становлять найбільший ризик для користувачів, як-от виконувані файли, а потім у наступних випусках торкнеться інших типів файлів. Google стверджує, що поступове розгортання «створено для швидкого пом’якшення найгірших ризиків, надання розробникам можливості оновлювати сайти та мінімізації кількості попереджень, які мають бачити користувачі Chrome».
Спочатку Google запровадить ці обмеження на завантаження змішаного вмісту на настільних платформах, починаючи з Chrome 81. Нижче наведено детальний графік обмежень для настільних платформ:
- У Chrome 81 (випущено в березні 2020 року) і новіших версіях:
- Chrome надрукує консольне повідомлення з попередженням про всі завантаження змішаного вмісту.
- У Chrome 82 (випущений у квітні 2020 р.):
- Chrome попереджатиме про завантаження змішаного вмісту або виконувані файли (наприклад, .exe).
- У Chrome 83 (випущено в червні 2020 року):
- Chrome блокуватиме виконувані файли зі змішаним вмістом
- Chrome попереджатиме про архіви змішаного вмісту (.zip) і образи дисків (.iso).
- У Chrome 84 (випущено в серпні 2020 р.):
- Chrome блокуватиме виконувані файли зі змішаним вмістом, архіви та образи дисків
- Chrome попереджатиме про всі інші завантаження змішаного вмісту, крім форматів зображень, аудіо, відео та тексту.
- У Chrome 85 (випущено у вересні 2020 р.):
- Chrome попереджатиме про завантаження змішаного вмісту зображень, аудіо, відео та тексту
- Chrome блокуватиме всі інші завантаження змішаного вмісту
- У Chrome 86 (випущений у жовтні 2020 року) і пізніше Chrome блокуватиме всі завантаження змішаного вмісту.
Ці обмеження будуть відкладені на один випуск для користувачів Android та iOS, а попередження почнеться в Chrome 83. Google стверджує, що оскільки мобільні платформи мають кращий вбудований захист від шкідливих файлів, затримка дасть розробникам перевагу для оновлення своїх веб-сайтів до того, як це вплине на користувачів. Розробники можуть гарантувати, що завантаження використовують лише HTTPS, якщо вони не хочуть, щоб користувачі коли-небудь бачили попередження про завантаження.
Крім того, у поточній версії Chrome Canary або в Chrome 81 після випуску розробники також можуть активувати попередження на усі завантаження змішаного вмісту для тестування, увімкнувши «Розглядати ризиковані завантаження через незахищені з’єднання як активний змішаний вміст» прапор. Google планує ще більше обмежити незахищені завантаження в Google Chrome у майбутньому, і для цього компанія закликала розробників повністю перейти на HTTPS, щоб уникнути обмежень.
Джерело: Блог безпеки Google