Загрузка файлов, таких как изображения, может быть запрещена, если они используют соединения HTTP - даже если они доступны на веб-сайте HTTPS.
GoogleChrome скоро ограничит загрузку определенных файлов, таких как PDF-файлы или исполняемые файлы, через соединение HTTP - даже если они загружены на веб-страницы HTTPS.
HTTPS указывает, что веб-сайт имеет зашифрованное соединение. При подключении к веб-сайту HTTP браузеры просто ищут IP-адрес и отправляют на него данные в виде открытого текста. С другой стороны, при использовании веб-сайта HTTPS браузер проверяет наличие законного SSL-сертификата перед отправкой данных в зашифрованном виде, предотвращая атаки типа «человек посередине» (MiTM) и многое другое.
С выпуском Chrome 68 в 2018 году Google начал маркировать веб-сайты HTTP «небезопасной» предупредительной надписью на панели навигации. Однако только то, что веб-сайты используют соединение HTTPS, не гарантирует, что они защищены от всех угроз. Например, фишинговые целевые страницы могут легко использовать SSL-сертификаты (и многие это делают). Аналогичным образом, веб-сайты HTTPS могут по-прежнему обслуживать изображения, сценарии или файлы других типов, которые загружаются с использованием менее защищенного HTTP-соединения.
Начиная с Chrome 82, выход которого запланирован на апрель, Google хочет устранить эту проблему, сначала предупредив пользователей, а затем заблокировав «смешанные загрузки контента» через HTTP, который может состоять из исполняемых файлов HTTP (таких как .exe и. apk-файлы), архивы (например, файлы .zip или .iso), мультимедийные файлы (например, файлы .png, .mp3) и все другие «небезопасные» типы (.pdf, .docx и т. д.).
«Небезопасно загруженные файлы - это риск для безопасности и конфиденциальности пользователей», - сказал Джо ДеБласио из команды безопасности Chrome в четверг. «Например, злонамеренно загруженные программы могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут читать небезопасно загруженные банковские выписки пользователей. Чтобы устранить эти риски, мы планируем в конечном итоге прекратить поддержку небезопасных загрузок в Chrome ».
Google, который впервые отклонил предложения по этой идее в апреле прошлого года, наметил план действий, чтобы в конечном итоге запретить загрузку файлов в течение следующих семи месяцев. Начиная с Chrome 82, GoogleChrome сначала просто предупреждает пользователей, загружают ли они исполняемые файлы по HTTP-соединению, а затем с Chrome 83 (июнь 2020 г.) браузер начинает блокировать их. Он будет делать то же самое с другими загрузками смешанного контента, пока не заблокирует все в Chrome 86, выпуск которого запланирован на сентябрь 2020 года.
«Типы файлов, представляющие наибольший риск для пользователей (например, исполняемые файлы), будут затронуты в первую очередь, а последующие выпуски будут охватывать больше типов файлов», - говорит ДеБласио. «Это постепенное развертывание предназначено для быстрого снижения рисков, предоставляя разработчикам возможности обновлять сайты и минимизировать количество предупреждений, которые должны видеть пользователи Chrome».
Постепенное развертывание также даст разработчикам возможность начать полную миграцию на HTTPS, гарантируя, что загрузки на их веб-сайтах также используют HTTPS-соединения. Google также заявил, что в текущей версии ChromeCanary (веб-браузер Google предназначен для разработчиков) и в Chrome 81 (после его выпуска) разработчики могут активировать предупреждение для всех загрузок смешанного контента для тестирования, включив «Обрабатывать рискованные загрузки через небезопасные». соединения как активный смешанный контент »в [chrome: // flags / # Treat-unsafe-downloads-as-active-content].
Фаусто Оливейра, главный архитектор безопасности в Acceptto, сказал, что этот шаг - «хорошая идея».
«Мы использовали HTTPS как стандарт де-факто для веб-страниц, однако, к сожалению, некоторые реализации, такие как упомянутые Google (то есть банковские выписки), приходят в ваш браузер незашифрованными», - сказал он. «Это позволяет любому, кто находится посередине, иметь доступ к конфиденциальным данным. Я надеюсь, что этот шаг со стороны Google приведет к тому, что другие браузеры будут блокировать загрузку файлов из незашифрованных соединений».
Дополнительная информация и статьи