Google Chrome blokerer snart alle usikre downloads
Som du måske allerede ved, havde Google og dets webbrowser startet en krig mod den almindelige HTTP. Den nyligt udgivne Chrome 80 tvinger HTTP-ressourcer til at blive indlæst via HTTPS, ellers efterlader det dem blokeret indtil den eksplicitte brugerinteraktion. Virksomheden afslører det næste skridt, de ville tage, denne gang mod HTTP-downloads.
Chrome vil gradvist sikre, at sikre (HTTPS) sider kun downloader sikre filer. Browseren begynder at blokere "downloads af blandet indhold" (ikke-HTTPS-downloads, der er startet på sikre sider).
Det officielle blogindlæg afslører hvad der ligger bag ændringen.
Usikkert downloadede filer udgør en risiko for brugernes sikkerhed og privatliv. For eksempel kan usikkert downloadede programmer byttes ud med malware af angribere, og aflyttere kan læse brugernes usikkert downloadede kontoudtog. For at imødegå disse risici planlægger vi med tiden at fjerne understøttelse af usikre downloads i Chrome.
Google planlægger først at anvende restriktioner på download af blandet indhold på desktopplatforme (Windows, macOS, Chrome OS og Linux). Planen for desktopplatforme ser ud som følger:
Så, Chrome 81
(udgivet marts 2020) vil udskrive en konsolmeddelelse, der advarer om alle downloads af blandet indhold; Chrome 82
vil vise en advarsel; Starter i Chrome 83
alle downloadbare indholdstyper vil gradvist blive blokeret.
Efter oktober 2020 blokerer Chrome alt download af blandet indhold.
Interesserede brugere kan aktivere en advarsel på alle downloads af blandet indhold til test ved at aktivere flaget "Behandle risikable downloads via usikre forbindelser som aktivt blandet indhold" på chrome://flags/#treat-unsafe-downloads-as-active-content
.
Google vil forsinke udrulningen på Android- og iOS-versioner af Chrome for én udgivelse. Det betyder, at advarsler om usikre downloads først vises i Chrome 83 og ikke i Chrome 82.
Virksomhedskunder og uddannelseskunder kan deaktivere blokering på per-site-basis via den eksisterende InsecureContentAllowedForUrls
politik ved at tilføje et mønster, der matcher den side, der anmoder om download.