Сегодня 06.02.2020 мы объявляем, что Chrome постепенно гарантирует, что безопасные (HTTPS) страницы загружают только защищенные файлы. В серии шагов, описанных ниже, мы начнем блокировать «смешанные загрузки контента» (загрузка без HTTPS началась на защищенных страницах). Этот шаг следует плану, который мы объявили в прошлом году, чтобы начать блокировать все небезопасные субресурсы на защищенных страницах.
Небезопасно загруженные файлы представляют собой угрозу безопасности и конфиденциальности пользователей. Например, злонамеренно загруженные программы могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут читать небезопасно загруженные банковские выписки пользователей. Чтобы устранить эти риски, мы планируем в конечном итоге прекратить поддержку небезопасных загрузок в Chrome.
В качестве первого шага мы сосредоточимся на небезопасных загрузках, начатых на защищенных страницах. Эти случаи особенно важны, поскольку в настоящее время Chrome не дает пользователю никаких указаний на то, что его конфиденциальность и безопасность находятся под угрозой.
Начиная с Chrome 82 (будет выпущен в апреле 2020 года), Chrome постепенно начнет предупреждать, а затем блокировать эти смешанные загрузки контента. Типы файлов, представляющие наибольший риск для пользователей (например, исполняемые файлы), будут затронуты первыми, а последующие выпуски будут охватывать больше типов файлов. Это постепенное развертывание предназначено для быстрого снижения наихудших рисков, предоставления разработчикам возможности обновлять сайты и минимизации количества предупреждений, которые должны видеть пользователи Chrome.
Мы планируем сначала ввести ограничения на загрузку смешанного контента на настольных платформах (Windows, macOS, Chrome OS и Linux). Наш план для настольных платформ следующий:
- В Chrome 81 (выпущен в марте 2020 года) и позже:
- Chrome напечатает консольное сообщение со всеми загрузками смешанного контента.
- В Chrome 82 (выпущен в апреле 2020 года):
- Chrome будет предупреждать о загрузке смешанного содержимого исполняемых файлов (например, .exe).
- В Chrome 83 (выпущен в июне 2020 года):
- Chrome будет блокировать исполняемые файлы со смешанным содержимым .
- Chrome будет предупреждать о смешанных архивах содержимого (.zip) и образах дисков (.iso).
- В Chrome 84 (выпущен в августе 2020 г.):
- Chrome блокирует исполняемые файлы, архивы и образы дисков со смешанным содержимым .
- Chrome будет предупреждать обо всех других загрузках смешанного контента, кроме изображений, аудио, видео и текстовых форматов.
- В Chrome 85 (выпущен в сентябре 2020 года):
- Chrome будет предупреждать о смешанных загрузках изображений, аудио, видео и текста .
- Chrome заблокирует все другие загрузки смешанного контента .
- В Chrome 86 (выпущен в октябре 2020 г.) и более поздних версиях Chrome блокирует загрузку смешанного контента.
Chrome задержит развертывание для пользователей Android и iOS на один выпуск, что приведет к появлению предупреждений в Chrome 83. Мобильные платформы имеют лучшую встроенную защиту от вредоносных файлов, и эта задержка даст разработчикам возможность начать обновление своих сайтов, прежде чем повлиять на мобильных пользователей.
Разработчики могут запретить пользователям когда-либо видеть предупреждение о загрузке, гарантируя, что загрузки используют только HTTPS. В текущей версии Chrome Canary или в Chrome 81 после выпуска разработчики могут активировать предупреждение для всех загрузок смешанного контента для тестирования, установив флажок «Обрабатывать рискованные загрузки по незащищенным соединениям как активный смешанный контент» на chrome:
chrome://flags/#treat-unsafe-downloads-as-active-content.
Корпоративные и образовательные клиенты могут отключить блокировку для каждого сайта с помощью существующей политики InsecureContentAllowedForUrls , добавив шаблон, соответствующий странице, запрашивающей загрузку.
В будущем мы ожидаем дальнейшее ограничение небезопасных загрузок в Chrome. Мы призываем разработчиков полностью перейти на HTTPS, чтобы избежать будущих ограничений и полностью защитить своих пользователей. Разработчики с вопросами можете связаться с нами по электронной почте security-dev@chromium.org.
Источник: Автор: Джо ДеБласио, специалист по безопасности Chrome