Google Chrome estää pian kaikki suojaamattomat lataukset
Kuten ehkä jo tiedät, Google ja sen verkkoselain olivat aloittaneet sodan tavallista HTTP: tä vastaan. Äskettäin julkaistu Chrome 80 pakottaa HTTP-resurssit latautumaan HTTPS: n kautta, muutoin se jättää ne estettyiksi käyttäjän nimenomaiseen vuorovaikutukseen asti. Yhtiö paljastaa seuraavan askeleen, jonka he ottavat, tällä kertaa HTTP-latauksia vastaan.
Chrome varmistaa vähitellen, että suojatut (HTTPS) sivut lataavat vain suojattuja tiedostoja Selain alkaa estää "sekasisällön lataukset" (ei-HTTPS-lataukset aloitettiin suojatuilta sivuilta).
Virallinen blogikirjoitus paljastaa mikä on muutoksen takana.
Epäturvallisesti ladatut tiedostot ovat riski käyttäjien turvallisuudelle ja yksityisyydelle. Hyökkääjät voivat esimerkiksi vaihtaa epäturvallisesti ladatut ohjelmat haittaohjelmiin, ja salakuuntelijat voivat lukea käyttäjien turvattomasti ladattuja tiliotteita. Näiden riskien poistamiseksi aiomme lopulta poistaa Chromen suojaamattomien latausten tuen.
Google aikoo soveltaa ensin rajoituksia sekasisällön latauksiin työpöytäalustoilla (Windows, macOS, Chrome OS ja Linux). Työpöytäalustojen suunnitelma näyttää seuraavalta:
Niin, Chrome 81 (julkaistu maaliskuussa 2020) tulostaa konsolivaroituksen kaikista sekasisällön latauksista; Chrome 82 näyttää varoituksen; Alkaa sisään Chrome 83 kaikki ladattavat sisältötyypit estetään asteittain.
Lokakuun 2020 jälkeen Chrome estää kaiken sekasisällön lataukset.
Kiinnostuneet käyttäjät voivat aktivoida varoituksen kaikista sekasisällön latauksista testausta varten ottamalla käyttöön "Kohtele vaarallisia latauksia turvattomien yhteyksien kautta aktiivisena sekoitettuna sisältönä" -lipun osoitteessa chrome://flags/#treat-unsafe-downloads-as-active-content.
Google lykkää Chromen Android- ja iOS-versioiden käyttöönottoa yhden julkaisun osalta. Tämä tarkoittaa, että varoitukset turvattomista latauksista näytetään ensin Chrome 83:ssa, ei Chrome 82:ssa.
Yritys- ja koulutusasiakkaat voivat poistaa eston käytöstä sivustokohtaisesti olemassa olevan palvelun kautta InsecureContentAllowedForUrls lisäämällä latausta pyytävää sivua vastaava malli.