Google Chrome יחסום את כל ההורדות הלא מאובטחות בקרוב

כפי שאתה אולי כבר יודע, גוגל ודפדפן האינטרנט שלה פתחו במלחמה נגד ה-HTTP הפשוט. Chrome 80 שיצא לאחרונה מאלץ משאבי HTTP להיטען באמצעות HTTPS, אחרת זה משאיר אותם חסומים עד לאינטראקציה המפורשת של המשתמש. החברה חושפת את הצעד הבא שהם יעשו, הפעם נגד הורדות HTTP.

Chrome יבטיח בהדרגה שדפים מאובטחים (HTTPS) יורידו רק קבצים מאובטחים. הדפדפן יתחיל לחסום "הורדות של תוכן מעורב" (הורדות שאינן HTTPS החלו בדפים מאובטחים).

הפוסט הרשמי בבלוג מגלה מה עומד מאחורי השינוי.

קבצים שהורדו בצורה לא מאובטחת מהווים סיכון לאבטחת המשתמשים ולפרטיותם. לדוגמה, תוקפים יכולים להחליף תוכנות שהורדו בצורה לא מאובטחת עבור תוכנות זדוניות, ומאזינים יכולים לקרוא את תדפיסי הבנק של משתמשים שהורדו בצורה לא מאובטחת. כדי להתמודד עם סיכונים אלו, אנו מתכננים בסופו של דבר להסיר את התמיכה בהורדות לא מאובטחות ב-Chrome.

גוגל מתכננת להחיל תחילה הגבלות על הורדות תוכן מעורב בפלטפורמות שולחניות (Windows, macOS, Chrome OS ו-Linux). התוכנית לפלטפורמות שולחניות נראית כך:

לכן, Chrome 81

(שוחרר במרץ 2020) ידפיס הודעת מסוף המזהירה לגבי כל הורדות התוכן המעורב; Chrome 82 יציג אזהרה; מתחיל ב Chrome 83 כל סוגי התוכן להורדה ייחסמו בהדרגה.

לאחר אוקטובר 2020, Chrome יחסום את כל הורדות התוכן המעורב.

משתמשים מעוניינים יכולים להפעיל אזהרה על כל הורדות התוכן המעורב לצורך בדיקה על ידי הפעלת הדגל "טפל בהורדות מסוכנות דרך חיבורים לא מאובטחים כתוכן מעורב פעיל" בכתובת chrome://flags/#treat-unsafe-downloads-as-active-content.

גוגל תדחה את ההשקה בגרסאות אנדרואיד ו-iOS של Chrome עבור מהדורה אחת. המשמעות היא שאזהרות לגבי הורדות לא מאובטחות יוצגו לראשונה ב-Chrome 83, ולא ב-Chrome 82.

לקוחות ארגוניים וחינוך יכולים לבטל את החסימה על בסיס כל אתר דרך הקיים InsecureContentAllowedForUrls מדיניות על ידי הוספת דפוס התואם לדף המבקש את ההורדה.