Google Chrome će uskoro blokirati sva nesigurna preuzimanja
Kao što možda već znate, Google i njegov web preglednik započeli su rat protiv običnog HTTP-a. Nedavno objavljen Chrome 80 prisiljava HTTP resurse da se učitavaju putem HTTPS-a, inače ih ostavlja blokiranima do eksplicitne korisničke interakcije. Tvrtka otkriva sljedeći korak koji bi poduzeli, ovaj put protiv HTTP preuzimanja.
Chrome će postupno osigurati da sigurne (HTTPS) stranice preuzimaju samo sigurne datoteke. Preglednik će početi blokirati "preuzimanja mješovitog sadržaja" (preuzimanja bez HTTPS-a pokrenuta na sigurnim stranicama).
Službeni blog post otkriva što stoji iza promjene.
Nesigurno preuzete datoteke predstavljaju rizik za sigurnost i privatnost korisnika. Na primjer, nesigurno preuzete programe napadači mogu zamijeniti zlonamjernim softverom, a prisluškivači mogu čitati nesigurno preuzete bankovne izvode korisnika. Kako bismo riješili te rizike, planiramo s vremenom ukloniti podršku za nesigurna preuzimanja u Chromeu.
Google prvo planira primijeniti ograničenja na preuzimanja mješovitog sadržaja na desktop platformama (Windows, macOS, OS Chrome i Linux). Plan za desktop platforme izgleda ovako:
Tako, Chrome 81 (objavljeno u ožujku 2020.) ispisat će poruku na konzoli s upozorenjem o svim preuzimanjima mješovitog sadržaja; Chrome 82 prikazat će upozorenje; Počevši od Chrome 83 sve vrste sadržaja za preuzimanje bit će postupno blokirane.
Nakon listopada 2020. Chrome će blokirati sva preuzimanja miješanog sadržaja.
Zainteresirani korisnici mogu aktivirati upozorenje na sva preuzimanja mješovitog sadržaja radi testiranja tako što će omogućiti oznaku "Tretiraj rizična preuzimanja preko nesigurnih veza kao aktivni mješoviti sadržaj" na chrome://flags/#treat-unsafe-downloads-as-active-content.
Google će odgoditi uvođenje na Android i iOS verzije Chromea za jedno izdanje. To znači da će se upozorenja za nesigurna preuzimanja prvo prikazati u Chromeu 83, a ne u Chromeu 82.
Poduzetnički i obrazovni korisnici mogu onemogućiti blokiranje na osnovi po mjestu putem postojećeg InsecureContentAllowedForUrls pravila dodavanjem uzorka koji odgovara stranici koja zahtijeva preuzimanje.
