Google Chrome скоро заблокирует все небезопасные загрузки
Как вы, возможно, уже знаете, Google и его веб-браузер начали войну против простого HTTP. Недавно выпущенный Chrome 80 заставляет HTTP-ресурсы загружаться через HTTPS, в противном случае он оставляет их заблокированными до явного взаимодействия с пользователем. Компания раскрывает следующий шаг, который они предпримут, на этот раз против загрузок по протоколу HTTP.
Рекламное объявление
Chrome постепенно будет гарантировать, что с защищенных (HTTPS) страниц загружаются только защищенные файлы. Браузер начнет блокировать «загрузку смешанного содержимого» (загрузки без HTTPS начинаются с защищенных страниц).
Официальный пост в блоге показывает что стоит за изменением.
Небезопасно загруженные файлы представляют собой риск для безопасности и конфиденциальности пользователей. Например, злоумышленники могут заменить небезопасно загруженные программы на вредоносное ПО, а злоумышленники могут прочитать небезопасно загруженные банковские выписки. Чтобы устранить эти риски, мы планируем со временем убрать поддержку небезопасных загрузок в Chrome.
Google планирует сначала применить ограничения на загрузку смешанного контента на настольных платформах (Windows, macOS, Chrome OS и Linux). План десктопных платформ выглядит следующим образом:
Так, Хром 81 (выпущено в марте 2020 г.) будет выводить консольное сообщение с предупреждением обо всех загрузках смешанного контента; Хром 82 отобразит предупреждение; Начиная с Хром 83 все типы загружаемого контента будут постепенно блокироваться.
После октября 2020 года Chrome будет блокировать загрузку всех смешанных материалов.
Заинтересованные пользователи могут активировать предупреждение обо всех загрузках смешанного содержимого для тестирования, установив флажок «Считать рискованные загрузки через небезопасные соединения активным смешанным содержимым» на странице хром: // флаги / # рассматривать-небезопасные-загрузки-как-активный-контент.
Google отложит развертывание версий Chrome для Android и iOS на один выпуск. Это означает, что предупреждения о небезопасных загрузках будут сначала отображаться в Chrome 83, а не в Chrome 82.
Корпоративные и образовательные клиенты могут отключить блокировку для отдельных сайтов с помощью существующей InsecureContentAllowedForUrls policy, добавив шаблон, соответствующий странице, запрашивающей загрузку.
