Браузер в конечном итоге заблокирует все файлы, загруженные по HTTP
В контексте: Google стремился к более безопасной сети, помечая все веб-сайты HTTP как «небезопасные» в Chrome 68 (июль 2018 года). Поскольку веб-сайты перешли на HTTPS, существует риск загрузки несанкционированных файлов с этих защищенных веб-сайтов, поскольку контент может полагаться на более старый протокол для передачи. В настоящее время компания представила план для своего браузера Chrome, который еще больше затянет петлю вокруг небезопасных загрузок, полностью блокируя все такие носители, когда в октябре этого года выйдет версия 86.
После раскрытия планов по борьбе с назойливой рекламой Google объявил в своем блоге, что Chrome "постепенно убедитесь, что защищенные (HTTPS) страницы загружают только защищенные файлы."
Идея состоит в том, чтобы защитить безопасность и конфиденциальность пользователей, которые могут оказаться под угрозой, когда "небезопасно загруженные программы" заменяются злоумышленниками на вредоносное ПО или когда "небезопасно загруженные банковские выписки" позволяют подслушивающим людям просматривать финансовые отчеты, в том числе и другие.
Google в конечном итоге прекратит поддержку небезопасных загрузок (загрузки не по протоколу HTTPS на защищенных страницах) в Chrome и начнет отображать предупреждающее сообщение на консоли браузера с версией 81, выходящей в следующем месяце для настольных платформ (Windows, macOS, Chrome OS и Linux).
Пользователи начнут видеть предупреждение для «исполняемых файлов» в версии 82, так как такие типы файлов обычно несут наибольший риск. Последующие выпуски будут охватывать больше «смешанных загрузок контента», включая ZIP-файлы, образы дисков, документы и мультимедиа в ближайшие месяцы, чтобы "Быстрое снижение наихудших рисков, предоставление разработчикам возможности обновлять сайты и минимизация количества предупреждений, которые должны видеть пользователи Chrome. "
Для мобильных пользователей (Android и iOS), Google говорит, что предупреждения начнут появляться немного позже в версии 83, учитывая платформы "лучшая встроенная защита от вредоносных файлов." Задержка также даст разработчикам больше времени для обновления своих сайтов соответственно.
Чтобы пользователи не могли видеть такие предупреждения, разработчикам необходимо обеспечить загрузку через HTTPS, а те, кто хочет протестировать эту функцию, могут включить "Рассматривать рискованные загрузки через незащищенные соединения как активный смешанный контент" флаг под chrome: // flags / # Treat-unsafe-downloads-as-active-content.
Поскольку предупреждения могут раздражать корпоративных и образовательных клиентов Google (обычно работающих в интрасети), компания отмечает, что функциональность блокировки Chrome может быть отключена на "на месте" основа "добавив шаблон, соответствующий странице, запрашивающей загрузку "в политике браузера.
