Несколько лет назад Google начал учитывать поддержку HTTPS при ранжировании результатов поиска с индексацией HTTPS-страниц по умолчанию. Затем в фирменном браузере Chrome (с версии 68) страницы, использующие протокол HTTP, начали помечаться небезопасными. Следующий шаг в рамках повышения безопасности интернета (читай: вытеснения протокола HTTP в пользу более защищеного HTTPS) — блокировка загрузки файлов без применения шифрования.
Напомним, команда разработчиков Chromium впервые анонсировала соответствущий механизм для борьбы с так называемым «смешанным» контентом (Это когда HTTPS-страницах отдельные элементы небезопасно подгружаются по протоколу HTTP без шифрования) еще в октябре прошлого года, предупредив, что блокировка будет внедрятся постепенно. Процесс официально запустили в версии Chrome 80 (стабильная сборка вышла буквально на днях). Одновременно команда разработчиков Google опубликовала план по внедрению в Chrome нового механизма блокировки загрузки файлов по HTTP. Улучшение должно повысить защищенность пользователей в интернете. Как объясняют разработчики, загрузка файлов без шифрования может использоваться злоумышленниками. Последние через подмену содержимого в процессе MITM-атак могут перехватывать конфиденциальные данные.
В нынешней версии Chrome 80 включили автоматическое обновление смешанного аудио и видео контента., когда это возможно. Кроме того, появились соответствущие уведомления о смешанном контенте на страница для пользователей — они будут отображаться в строке Omnibox.
С выходом версии Chrome 82 браузер начнет предупреждать каждый раз при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS. В Chrome 83 блокировка для исполняемых файлов уже будет включена по умолчанию, а для архивов будут отображаться предупреждения. С выпуском Chrome 84 блокировка распространится на архивы, а в случае загрузки документов система будет предупреждать о потенциальной опасности. В Chrome 85 и документы будут подпадать под блокировку, а предупреждения начнут выводиться при небезопасной загрузке изображений, видео, звука и текста, которые начнут блокироваться с выпуском Chrome 86 (релиз стабильной сборки намечен на 26 октября).
В мобильных версиях Chrome для Android и iOS блокировка будет внедряться с отставанием на один выпуск (предупреждения появятся не в Сhrome 82, а в версии 83 и т.д.). В Chrome 81 в служебном разделе настроек появится опция (chrome://flags/#treat-unsafe-downloads-as-active-conten) которая позволит включить отображение предупреждений на один релиз раньше. Она уже доступна в тестовой версии Chrome Canary.
Источник: Chromium
- HTTPS не является отдельным протоколом. Это обычный HTTP, дополненный механизмами шифрования SSL и TLS в целях повышения безопасности.
- HTTPS защищает канал передачи данных между браузером и веб-сайтом, предотвращая разного рода атаки — от снифферских атак и атак типа man-in-the-middle.