Τον Απρίλιο του περασμένου έτους, η Google είχε έρθει σε επαφή με άλλους κατασκευαστές browsers σε μια προσπάθεια να τους πείσει για την ενίσχυση της ασφάλειας των χρηστών τους, μπλοκάροντας τις λήψεις μικτού περιεχομένου.
Η πρόταση της Google ήταν να μπλοκάρουν οι browsers τις λήψεις αρχείων που πραγματοποιούνται μέσω HTTP. Συγκεκριμένα, ο αποκλεισμός θα εφαρμόζεται όταν η λήψη του αρχείου ξεκινά από ένα site HTTPS.
Τώρα, η Google ανακοίνωσε ότι θα εφαρμόσει αυτό το σχέδιο στον Chrome browser, μέσα στους επόμενους μήνες.
Η Google δηλώνει ότι εμποδίζει αυτούς τους τύπους λήψεων, διότι αποτελούν κίνδυνο για την ασφάλεια και το ιδιωτικό απόρρητο των χρηστών. Θα μπορούσαν να επιτρέψουν “man-in-the-middle” (MiTM) επίθεση.
“Τα αρχεία που αποστέλλονται μέσω μικτού περιεχομένου μπορούν να μεταφέρουν κακόβουλα προγράμματα από εισβολείς οι οποίοι μπορούν να αποκτήσουν πρόσβαση στις τραπεζικές συναλλαγές των χρηστών”, είπε η Google.
Τι ακριβώς θα μπλοκάρει η Google;
Σύμφωνα με ένα χρονοδιάγραμμα που δημοσίευσε η Google, οι αλλαγές θα ξεκινήσουν να εφαρμόζονται στον Chrome 83, που θα κυκλοφορήσει τον Ιούνιο. Από εκεί και έπειτα οποιαδήποτε νέα έκδοση του Chrome θα μπλοκάρει “επικίνδυνες λήψεις”.
Ωστόσο, η Google δεν θα μπλοκάρει όλες τις λήψεις HTTP.
Για παράδειγμα, η εταιρεία δεν θα μπλοκάρει τις HTTP λήψεις που προέρχονται από HTTP sites. Ο λόγος είναι ότι ο Chrome προειδοποιεί ήδη τους χρήστες σε αυτήν την περίπτωση. Τους ενημερώνει ότι το site που επισκέπτονται δεν είναι ασφαλές, βάζοντας την ένδειξη “Not Secure” στη γραμμή URL.
Στόχος είναι ο αποκλεισμός μη ασφαλών λήψεων από sites, που φαίνεται να είναι ασφαλή (HTTPS) αλλά οι λήψεις δεν είναι (φορτωμένες μέσω HTTP).
Σύμφωνα με τη Google, η παρουσία του HTTPS στη διεύθυνση URL του site εξαπατά τους χρήστες και τους κάνει να σκέφτονται ότι και η λήψη γίνεται μέσω HTTPS. Αλλά σε ορισμένες περιπτώσεις αυτό δεν ισχύει.
Αυτές τις περιπτώσεις θέλει να σταματήσει η Google.
Η αλλαγή δεν θα γίνει ξαφνικά με τη νέα έκδοση του Chrome. Η Google δημοσίευσε μια διαδικασία έξι βημάτων, κατά τη διάρκεια της οποίας θα αποκλείονται σταδιακά οι λήψεις HTTP από HTTPS sites:
- Chrome 81 (Μάρτιος 2020): Ο Chrome θα εμφανίσει μια προειδοποίηση σχετικά με όλες τις λήψεις μικτού περιεχομένου.
- Chrome 82 (Απρίλιος 2020): Ο Chrome θα προειδοποιεί για λήψεις μικτών εκτελέσιμων αρχείων (π.χ. .exe).
- Chrome 83 (Ιούνιος 2020): Ο Chrome θα μπλοκάρει μικτά εκτελέσιμα αρχεία και θα προειδοποιεί για μικτά archives (.zip) και disk images (.iso).
- Chrome 84 (Αύγουστος 2020): Ο Chrome θα μπλοκάρει μικτά εκτελέσιμα αρχεία, archives and disk images και θα προειδοποιεί για όλες τις άλλες λήψεις μικτού περιεχομένου (εκτός εικόνας, ήχου, βίντεο και κειμένου).
- Chrome 85 (Σεπτέμβριος 2020): Ο Chrome θα προειδοποιεί για λήψεις μικτού περιεχομένου εικόνων, ήχου, βίντεο και κειμένου και θα μπλοκάρει όλες τις άλλες λήψεις.
- Chrome 86 (Οκτώβριος 2020): Ο Chrome θα μπλοκάρει όλες τις λήψεις μικτού περιεχομένου.
Αυτό απεικονίζεται στην ακόλουθη εικόνα:
Ωστόσο, η Google δήλωσε ότι κατανοεί ότι σε ορισμένες ελεγχόμενες συνθήκες, όπως τα intranets, οι λήψεις μικτού περιεχομένου δεν είναι τόσο επικίνδυνες. Για αυτές τις περιπτώσεις, υπάρχει μια πολιτική Google Chrome (InsecureContentAllowedForUrls) που θα επιτρέπει λήψεις HTTP σε ελεγχόμενα περιβάλλοντα.
Οι διαχειριστές sites θα μπορούν να ελέγξουν αν τα sites τους συμμορφώνονται με αυτή τη νέα πολιτική μέσω του Google Chrome Canary. Για να γίνει αυτό, θα πρέπει να ενεργοποιήσουν το ακόλουθο Chrome flag:
chrome://flags/#treat-unsafe-downloads-as-active-content
: Το Chrome θα προειδοποιεί για λήψεις μικτού περιεχομένου εικόνων, ήχου, βίντεο και κειμένου και θα μπλοκάρει){kind=link}