Google Chrome brzy zablokuje všechna nezabezpečená stahování
Jak už možná víte, Google a jeho webový prohlížeč rozpoutaly válku proti prostému HTTP. Nedávno vydaný Chrome 80 vynutí načítání zdrojů HTTP přes HTTPS, jinak je ponechává blokované až do explicitní interakce uživatele. Společnost odhaluje další krok, který by podnikli, tentokrát proti stahování HTTP.
Chrome postupně zajistí, aby zabezpečené (HTTPS) stránky stahovaly pouze zabezpečené soubory Prohlížeč začne blokovat „stahování smíšeného obsahu“ (stahování bez HTTPS začalo na zabezpečených stránkách).
Oficiální příspěvek na blogu prozrazuje co za změnou stojí.
Nezabezpečeně stažené soubory představují riziko pro bezpečnost a soukromí uživatelů. Například nezabezpečeně stažené programy mohou útočníci vyměnit za malware a odposlouchávači mohou číst nezabezpečeně stažené bankovní výpisy uživatelů. Abychom tato rizika vyřešili, plánujeme nakonec zrušit podporu pro nezabezpečené stahování v prohlížeči Chrome.
Google plánuje nejprve uplatnit omezení na stahování smíšeného obsahu na platformách pro stolní počítače (Windows, macOS, Chrome OS a Linux). Plán pro desktopové platformy vypadá následovně:
Tak, Chrome 81 (vydáno v březnu 2020) vytiskne zprávu konzole s upozorněním na veškeré stahování smíšeného obsahu; Chrome 82 zobrazí varování; Začíná v Chrome 83 všechny typy obsahu ke stažení budou postupně zablokovány.
Po říjnu 2020 bude Chrome blokovat stahování veškerého smíšeného obsahu.
Zainteresovaní uživatelé mohou aktivovat upozornění na všechna stahování smíšeného obsahu za účelem testování povolením příznaku „Považovat rizikové stahování přes nezabezpečená připojení jako aktivní smíšený obsah“ na adrese chrome://flags/#treat-unsafe-downloads-as-active-content.
Google odloží uvedení prohlížeče Chrome ve verzích pro Android a iOS pro jedno vydání. To znamená, že varování před nezabezpečeným stahováním se nejprve zobrazí v Chrome 83, nikoli v Chrome 82.
Firemní a vzdělávací zákazníci mohou zakázat blokování pro jednotlivé stránky prostřednictvím stávajícího InsecureContentAllowedForUrls přidáním vzoru, který odpovídá stránce požadující stažení.