Защита пользователей от небезопасных загрузок в Google Chrome

Top

    Сегодня 06.02.2020 мы объявляем, что Chrome постепенно гарантирует, что безопасные (HTTPS) страницы загружают только защищенные файлы. В серии шагов, описанных ниже, мы начнем блокировать «смешанные загрузки контента» (загрузка без HTTPS началась на защищенных страницах). Этот шаг следует плану, который мы объявили в прошлом году, чтобы начать блокировать все небезопасные субресурсы на защищенных страницах.

Небезопасно загруженные файлы представляют собой угрозу безопасности и конфиденциальности пользователей. Например, злонамеренно загруженные программы могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут читать небезопасно загруженные банковские выписки пользователей. Чтобы устранить эти риски, мы планируем в конечном итоге прекратить поддержку небезопасных загрузок в Chrome.

В качестве первого шага мы сосредоточимся на небезопасных загрузках, начатых на защищенных страницах. Эти случаи особенно важны, поскольку в настоящее время Chrome не дает пользователю никаких указаний на то, что его конфиденциальность и безопасность находятся под угрозой.

Начиная с Chrome 82 (будет выпущен в апреле 2020 года), Chrome постепенно начнет предупреждать, а затем блокировать эти смешанные загрузки контента. Типы файлов, представляющие наибольший риск для пользователей (например, исполняемые файлы), будут затронуты первыми, а последующие выпуски будут охватывать больше типов файлов. Это постепенное развертывание предназначено для быстрого снижения наихудших рисков, предоставления разработчикам возможности обновлять сайты и минимизации количества предупреждений, которые должны видеть пользователи Chrome.

Мы планируем сначала ввести ограничения на загрузку смешанного контента на настольных платформах (Windows, macOS, Chrome OS и Linux). Наш план для настольных платформ следующий:

  • В Chrome 81  (выпущен в марте 2020 года) и позже:
    • Chrome напечатает консольное сообщение со всеми загрузками смешанного контента.
  • В Chrome 82 (выпущен в апреле 2020 года):
    • Chrome будет предупреждать о загрузке смешанного содержимого исполняемых файлов (например, .exe).
  • В Chrome 83 (выпущен в июне 2020 года):
    • Chrome будет блокировать исполняемые файлы со смешанным содержимым .
    • Chrome будет предупреждать о смешанных архивах содержимого (.zip) и образах дисков (.iso).
  • В Chrome 84 (выпущен в августе 2020 г.):
    • Chrome блокирует исполняемые файлы, архивы и образы дисков со смешанным содержимым .
    • Chrome будет предупреждать обо всех других загрузках смешанного контента, кроме изображений, аудио, видео и текстовых форматов.
  • В Chrome 85 (выпущен в сентябре 2020 года):
    • Chrome будет предупреждать о смешанных загрузках изображений, аудио, видео и текста .
    • Chrome заблокирует все другие загрузки смешанного контента .
  • В Chrome 86 (выпущен в октябре 2020 г.) и более поздних версиях Chrome блокирует загрузку смешанного контента.

   

Chrome задержит развертывание для пользователей Android и iOS на один выпуск, что приведет к появлению предупреждений в Chrome 83. Мобильные платформы имеют лучшую встроенную защиту от вредоносных файлов, и эта задержка даст разработчикам возможность начать обновление своих сайтов, прежде чем повлиять на мобильных пользователей. 

 

Разработчики могут запретить пользователям когда-либо видеть предупреждение о загрузке, гарантируя, что загрузки используют только HTTPS. В текущей версии Chrome Canary или в Chrome 81 после выпуска разработчики могут активировать предупреждение для всех загрузок смешанного контента для тестирования, установив флажок «Обрабатывать рискованные загрузки по незащищенным соединениям как активный смешанный контент» на chrome:

chrome://flags/#treat-unsafe-downloads-as-active-content. 

Корпоративные и образовательные клиенты могут отключить блокировку для каждого сайта с помощью существующей политики InsecureContentAllowedForUrls , добавив шаблон, соответствующий странице, запрашивающей загрузку. 

 

В будущем мы ожидаем дальнейшее ограничение небезопасных загрузок в Chrome. Мы призываем разработчиков полностью перейти на HTTPS, чтобы избежать будущих ограничений и полностью защитить своих пользователей. Разработчики с вопросами можете связаться с нами по электронной почте security-dev@chromium.org. 

Источник: Автор: Джо ДеБласио, специалист по безопасности Chrome


 

07 Февраль 2020
Copyright 2018 Workite.ru
Главная страница | Карта сайта | Политика конфиденциальности и условия
Копирование материалов сайта разрешено лишь при указании активной, прямой ссылки на источник.