Google Chrome blokkeert binnenkort alle onveilige downloads
Zoals je misschien al weet, waren Google en zijn webbrowser een oorlog begonnen tegen de gewone HTTP. De onlangs uitgebrachte Chrome 80 dwingt HTTP-bronnen om via HTTPS te worden geladen, anders blijven ze geblokkeerd tot de expliciete gebruikersinteractie. Het bedrijf onthult de volgende stap die ze zouden nemen, dit keer tegen HTTP-downloads.
Advertentie
Chrome zal er geleidelijk voor zorgen dat beveiligde (HTTPS) pagina's alleen beveiligde bestanden downloaden. De browser zal beginnen met het blokkeren van "mixed content downloads" (niet-HTTPS downloads gestart op beveiligde pagina's).
De officiële blogpost onthult wat zit er achter de verandering.
Onveilig gedownloade bestanden vormen een risico voor de veiligheid en privacy van gebruikers. Zo kunnen onveilig gedownloade programma's door aanvallers worden vervangen door malware en kunnen afluisteraars de onveilig gedownloade bankafschriften van gebruikers lezen. Om deze risico's aan te pakken, zijn we van plan om uiteindelijk de ondersteuning voor onveilige downloads in Chrome te verwijderen.
Google is van plan om eerst beperkingen toe te passen op het downloaden van gemengde inhoud op desktopplatforms (Windows, macOS, Chrome OS en Linux). Het plan voor desktopplatforms ziet er als volgt uit:
Dus, Chroom 81 (uitgebracht in maart 2020) zal een waarschuwingsbericht op de console afdrukken over alle downloads van gemengde inhoud; Chroom 82 geeft een waarschuwing weer; beginnend in Chroom 83 alle downloadbare inhoudstypen worden geleidelijk geblokkeerd.
Na oktober 2020 blokkeert Chrome alle downloads van gemengde inhoud.
Geïnteresseerde gebruikers kunnen een waarschuwing activeren voor alle downloads van gemengde inhoud om te testen door de vlag "Behandel riskante downloads via onveilige verbindingen als actieve gemengde inhoud" in te schakelen op chrome://flags/#treat-unsafe-downloads-as-active-content.
Google stelt de uitrol op Android- en iOS-versies van Chrome voor één release uit. Dit betekent dat waarschuwingen voor onveilige downloads eerst worden weergegeven in Chrome 83 en niet in Chrome 82.
Zakelijke en educatieve klanten kunnen blokkering per site uitschakelen via de bestaande InsecureContentAllowedForUrls beleid door een patroon toe te voegen dat overeenkomt met de pagina die de download aanvraagt.