Google будет бороться с потенциально небезопасной загрузкой файлов в браузере Chrome. Разработчики опубликовали планы по постепенному блокированию небезопасных загрузок по HTTP, начатых на защищенных HTTPS-страницах.
Изменения в Chrome
Разработчики Chrome постепенно хотят прийти к тому, чтобы их браузер полноценно работал только с HTTPS-сайтами и мог загружать только зашифрованные данные. Бороться будут, в первую очередь, со «смешанными загрузками» – когда файл скачивается с защищенной HTTPS-страницы, но непосредственно для загрузки применяется протокол HTTP.
Сейчас в подобных ситуациях браузер никак не предупреждает пользователей о небезопасных действиях. И это нужно изменить как можно скорее.
Первый важный шаг в этом направлении компания сделала в конце 2019 года, когда были опубликованы планы о блокировании на защищенных страницах всех небезопасных субресурсов (изображений, видео, музыки) .
Разработчики убеждены, что скачивание файлов с HTTP-страниц ставит безопасность данных пользователей под угрозу. Подобные загрузки обеспечивают распространение вредоносного ПО, кражу личных и банковских данных, поскольку дают доступ злоумышленникам к перехвату и подмене скачиваемых файлов. Чтобы устранить эти риски, разработчики планируют в конечном итоге прекратить поддержку небезопасных загрузок в браузере Chrome.
HTTPS против HTTP
HTTP – достаточно старый протокол, который разрабатывался без серьезного упора на безопасность. HTTPS – надстройка над HTTP, созданная с целью повышения уровня безопасности.
По большому счету, в HTTP данные передаются без шифрования, в HTTPS информация шифруется. Таким образом, даже если хакеры перехватят пакет данных, которые передаются по HTTPS, им придется приложить немало усилий, чтобы расшифровать их.
Для расшифровки нужен ключ, который хранится на сервере. Взломать его и похитить нужные данные крайне сложно – по крайней мере, в сравнении с перехватом данных на стороне пользователя.
Но для установки HTTPS для сайта необходим SSL-сертификат. Выдачей таких сертификатов занимаются специальные компании, услуга эта не бесплатная. Соответственно, мелким сайтам не хочется тратить деньги на внедрение HTTPS. И этим они подставляют своих пользователей, делая их данные уязвимыми.
Даты и версии
Ограничивать небезопасные загрузки будут постепенно:
-
В версии Chrome 81, релиз которого состоится в марте 2020 года, браузер начнет предупреждать о начале смешанной загрузки в консоли.
-
В Chrome 82, которая выйдет в апреле, введут особое (не консольное) предупреждение о смешанной загрузке исполняемых файлов, остальные уведомления останутся в консоли.
-
В Chrome 83 (июнь 2020 года) начнут блокировать смешанную загрузку исполняемых файлов. Также браузер будет выдавать предупреждения о смешанных загрузках zip-архивов и iso-образов дисков.
-
Начиная с Chrome 84 (август 2020 года) заблокирует смешанную загрузку всех исполняемых файлов, образов дисков и архивов. По поводу смешанной загрузки других файлов браузер ограничится предупреждениями.
-
Наконец, в Chrome 85 (сентябрь 2020 года) запретят смешанную загрузку любых файлов, кроме изображений, видео аудио и текста.
-
И в октябре 2020 года выйдет релиз Chrome 86, который будет блокировать все без исключения смешанные загрузки.
Предупреждение о смешанной загрузке исполняемых файлов,
которое планируется в Chrome 82
На мобильных тоже будет работать
Первыми доступ к новым релизам получат пользователи ПК. Затем практика распространится и на релизы браузера для Android и iOS.
Но они будут получать обновления позднее, чем на ПК – ожидается отставание на одно обновление. Это даст разработчикам больше времени на обновление сайтов и отказ от смешанной загрузки.
В целом же в Google призвали всех полностью отказаться от HTTP в пользу HTTPS. Чем раньше будет выполнена миграция, тем ниже будет риск дальнейших ограничений и тем выше уровень защиты пользователей.
Подробнее о планируемых изменениях Chrome в блоге безопасности Google
