Zmiany w Chrome. Koniec pobierania załączników HTTP ze stron HTTPS

Chrome wprowadza zmiany. Elementy wykorzystujące protokół HTTP będą stopniowo blokowane. To kolejny etap polityki Google, który mówi nie dla „mixed content”. W myśl zasady – bezpieczne strony (HTTPS) mają pobierać tylko bezpieczne pliki.

Polityka bezpieczeństwa Google

Google konsekwentnie wprowadza szereg zmian mających na celu zapewnienie bezpieczeństwa i prywatności użytkowników. W pierwszej kolejności postawił na budowanie świadomości i edukację swoich użytkowników. Strony, które nie posiadały „zielonej kłódki”, a więc takie, które nie były zabezpieczone certyfikatem SSL, oznaczył jako Niezabezpieczone. W kolejnym kroku prześwietlił szybkość stron. Teraz mówi „nie” dla pobierania załączników HTTP ze stron HTTPS. Lider z Doliny Krzemowej, tłumaczy, że pomimo, iż udało się w 90% przypadkach zabezpieczyć strony SSL to problem stanowią niektóre elementy jej zawartości. Pojedyncze obiekty, jak na przykład zdjęcia, czy materiały video wciąż funkcjonują w oparciu o HTTP.

Będziemy blokować wszystkie niepewne zasoby podrzędne na bezpiecznych stronach. Niepewnie pobrane pliki stanowią zagrożenie dla bezpieczeństwa i prywatności użytkowników. Dla przykładu, niebezpiecznie pobrane programy mogą zostać zamienione na złośliwe oprogramowanie przez osoby atakujące(…). Aby zaradzić tym zagrożeniom planujemy ostatecznie usunąć obsługę niepewnych pobrań w Chrome. Pierwszym krokiem jest skoncentrowanie się na eliminacji pobierania takich plików na stronach bezpiecznych.

Chrome Security Team

Polityka zmian Chrome. Blokowanie plików pobieranych po HTTP

Chrome od wersji 82 zacznie stopniowo ostrzegać o mieszanych materiałach na stronie, a w konsekwencji zacznie blokować ich pobieranie. Zmiany są wprowadzane stopniowo aby, jak tłumaczy Chrome, zapewnić możliwość podjęcia odpowiednich kroków i zminimalizować liczbę ostrzeżeń, które muszą zobaczyć użytkownicy.

Chrome 82

Obecnie Chrome nie podaje informacji na temat niepewnych pobrań ze stron korzystających z HTTPS. Chrome 82 wraz z wejściem na rynek, w kwietniu 2020 roku, wprowadzi ostrzeżenia dotyczące prób pobierania plików wykonywalnych, takich jak .APK i .EXE. Na pasku zobaczymy informację, że plik „nie może zostać bezpiecznie pobrany”.

Chrome 83

W chwili pojawienia się Chrome 83, w czerwcu 2020 roku, pliki wykonywalne będą blokowane. Dodatkowo Chrome będzie ostrzegał przed plikami archiwów, jak np. ZIP i .ISO.

Chrome 84

W sierpniu Chrome 84 obok plików wykonywalnych zacznie także blokować pliki archiwów. Dodatkowo zacznie ostrzegać przed pobieraniem pozostałych plików poza zdjęciami, materiałami audio, video i tekstem.

Chrome 85

We wrześniu 2020 roku zacznie ostrzegać przed pobieraniem zdjęć, materiałów audio, video i tekstu oraz zacznie blokować wszystkie pozostałe typy plików.

Chrome 86

Od października 2020 roku Chrome będzie blokował wszystkie pliki pobierane po http ze stron korzystających z HTTPS.

Zmiany, które konsekwentnie rozwija i wprowadza Chrome mają na celu jedno – wzmocnienie bezpieczeństwa i ochrony prywatności użytkowników.

Źródło: https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

Dobry tekst? Podziel się!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *