Google Chrome незабаром заблокує всі небезпечні завантаження
Як ви, можливо, вже знаєте, Google і його веб-браузер почали війну проти простого HTTP. Нещодавно випущений Chrome 80 змушує ресурси HTTP завантажуватися через HTTPS, інакше вони залишаються заблокованими до явної взаємодії користувача. Компанія розкриває наступний крок, який вони зроблять, цього разу проти завантажень HTTP.
Реклама
Chrome поступово гарантуватиме, що безпечні (HTTPS) сторінки завантажують лише захищені файли. Веб-переглядач почне блокувати «завантаження змішаного вмісту» (завантаження без HTTPS розпочато на захищених сторінках).
Офіційна публікація в блозі розкриває що стоїть за зміною.
Небезпечно завантажені файли становлять загрозу для безпеки та конфіденційності користувачів. Наприклад, зловмисники можуть замінити небезпечно завантажені програми на зловмисне програмне забезпечення, а зловмисники можуть читати небезпечно завантажені виписки з банку. Щоб подолати ці ризики, ми плануємо згодом скасувати підтримку небезпечних завантажень у Chrome.
Google планує спочатку застосувати обмеження на завантаження змішаного вмісту на настільних платформах (Windows, macOS, Chrome OS і Linux). План для настільних платформ виглядає наступним чином:
Так, Chrome 81 (випущено в березні 2020 року) надрукує консольне повідомлення з попередженням про всі завантаження змішаного вмісту; Chrome 82 відобразить попередження; Початок в Chrome 83 усі типи завантажуваного вмісту будуть поступово блокуватися.
Після жовтня 2020 року Chrome блокуватиме всі завантаження змішаного вмісту.
Зацікавлені користувачі можуть активувати попередження щодо всіх завантажень змішаного вмісту для тестування, увімкнувши прапорець «Розраховувати ризиковані завантаження через незахищені з’єднання як активний змішаний вміст» на сторінці chrome://flags/#treat-unsafe-downloads-as-active-content.
Google відкладе запуск у версіях Chrome для Android і iOS на один випуск. Це означає, що попередження про небезпечні завантаження спочатку відображатимуться в Chrome 83, а не в Chrome 82.
Корпоративні та освітні клієнти можуть вимкнути блокування для кожного сайту за допомогою існуючого InsecureContentAllowedForUrls політику, додавши шаблон, що відповідає сторінці, яка запитує завантаження.
