Google Chrome bloquera bientôt tous les téléchargements non sécurisés
Comme vous le savez peut-être déjà, Google et son navigateur Web avaient lancé une guerre contre le simple HTTP. Le Chrome 80 récemment sorti force le chargement des ressources HTTP via HTTPS, sinon il les laisse bloquées jusqu'à l'interaction explicite de l'utilisateur. La société révèle la prochaine étape qu'elle franchirait, cette fois contre les téléchargements HTTP.
Chrome garantira progressivement que les pages sécurisées (HTTPS) ne téléchargent que des fichiers sécurisés. Le navigateur commencera à bloquer les "téléchargements de contenu mixte" (téléchargements non HTTPS démarrés sur des pages sécurisées).
L'article officiel du blog révèle ce qui se cache derrière le changement.
Les fichiers téléchargés de manière non sécurisée représentent un risque pour la sécurité et la confidentialité des utilisateurs. Par exemple, les programmes téléchargés de manière non sécurisée peuvent être remplacés par des logiciels malveillants par des attaquants, et les espions peuvent lire les relevés bancaires téléchargés de manière non sécurisée des utilisateurs. Pour faire face à ces risques, nous prévoyons de supprimer à terme la prise en charge des téléchargements non sécurisés dans Chrome.
Google prévoit d'appliquer d'abord des restrictions sur les téléchargements de contenu mixte sur les plates-formes de bureau (Windows, macOS, Chrome OS et Linux). Le plan pour les plates-formes de bureau se présente comme suit :
Donc, Chrome 81 (publié en mars 2020) imprimera un message de console avertissant de tous les téléchargements de contenu mixte; Chrome 82 affichera un avertissement; À partir de Chrome 83 tous les types de contenus téléchargeables seront progressivement bloqués.
Après octobre 2020, Chrome bloquera tous les téléchargements de contenu mixte.
Les utilisateurs intéressés peuvent activer un avertissement sur tous les téléchargements de contenu mixte à des fins de test en activant l'indicateur « Traiter les téléchargements à risque sur des connexions non sécurisées comme un contenu mixte actif » sur chrome://flags/#treat-unsafe-downloads-as-active-content.
Google retardera le déploiement sur les versions Android et iOS de Chrome pour une version. Cela signifie que les avertissements pour les téléchargements non sécurisés seront d'abord affichés dans Chrome 83, et non dans Chrome 82.
Les clients des entreprises et de l'éducation peuvent désactiver le blocage site par site via le InsecureContentAllowedForUrls politique en ajoutant un motif correspondant à la page demandant le téléchargement.
