Chrome odteď blokuje stahování souborů .exe a .txt z http stránek

chrome

Společnost Google uvedla, že bude i nadále snižovat škody způsobené nedostatečným webovým zabezpečením a brzy tak uživatelům Google Chrome zabrání ve stahování souborů .exe a .txt z nezabezpečených HTTP stránek.

„Jakýkoliv nezabezpečený download je špatný z hlediska ochrany soukromí i zabezpečení“ prohlásil na Twitteru Joe DeBlasio, který pracuje v týmu zaměřeném na zabezpečení prohlížeče Chrome. „Doufáme, že se nám zablokováním těchto souborů podaří zastavit všechna nezabezpečená stahování ze stránek bez HTTPS.“

Google půjde ze začátku po smíšeném obsahu, zdrojích jako jsou soubory, obrázky a skripty, které se načtou prostřednictvím nezabezpečených připojení HTTP z webové stránky, která byla doručena prostřednictvím zabezpečeného odkazu HTTPS.

Chrome verze 82 dorazí v dubnu 2020 – uživatelům prohlížeče zobrazí Chrome upozornění při pokusu o stažení spustitelných souborů (např. .exe, .apk), které se zobrazují prostřednictvím protokolu HTTP. V prohlížeči v83 bude v červnu 2020 kompletně zabráněno v pokusu o stažení takového souboru. Výstražné upozornění se mezitím přesune na pokus o stažení nezabezpečených archivních souborů (např. .zip, .iso).

V Chrome v84, který vyjde v srpnu budou ve výchozím nastavení zablokovány všechny nezabezpečené spustitelné soubory a archívy a další typy nezabezpečených souborů zobrazí upozornění ke stažení (např. .pdf, .docx). Verze 85 se pak přesune na obrázky, zvuk, video a text a ve verzi 86 budou vypnuta veškerá varování a Chrome odmítne stáhnout jakýkoli smíšený obsah.

Když Google původně informoval o svém zásahu na obranu uživatelů, kteří nemají zájem o řešení nezabezpečeného obsahu, společnost prohlásila, že „uživatelé si budou moct vypnout blokování smíšeného obsahu na specifických stránkách“.

Mark Amery, softwarový developer biotechs Shield Diagnostics již vyjádřil obavy z důsledků takového blokování pro vývojáře webů. „Varování uživatelů je naprosto v pořádku, ale naprostá blokace nespustitelných souborů je špatně“ – nechal se slyšet Amery.

DeBlasio uznal, že weboví vývojáři budou mít pravděpodobně mnohem více práce, ale i přesto si stojí za rozhodnutím s blokací všech souborů a doufá, že to ve výsledku nebude pro nikoho problém.