Загрузка файлов, таких как изображения, может быть
запрещена, если они используют соединения HTTP - даже если они доступны на веб-сайте HTTPS.
GoogleChrome
скоро ограничит загрузку определенных файлов, таких как PDF-файлы или исполняемые файлы, через
соединение HTTP - даже
если они загружены на веб-страницы HTTPS.
HTTPS
указывает, что веб-сайт имеет зашифрованное соединение. При подключении к веб-сайту
HTTP браузеры просто
ищут IP-адрес и
отправляют на него данные в виде открытого текста. С другой стороны, при
использовании веб-сайта HTTPS
браузер проверяет наличие законного SSL-сертификата перед отправкой данных в зашифрованном виде,
предотвращая атаки типа «человек посередине» (MiTM) и многое другое.
С выпуском Chrome
68 в 2018 году Google
начал маркировать веб-сайты HTTP
«небезопасной» предупредительной надписью на панели навигации. Однако только
то, что веб-сайты используют соединение HTTPS, не гарантирует, что они защищены от всех угроз. Например,
фишинговые целевые страницы могут легко использовать SSL-сертификаты (и многие это делают).
Аналогичным образом, веб-сайты HTTPS
могут по-прежнему обслуживать изображения, сценарии или файлы других типов,
которые загружаются с использованием менее защищенного HTTP-соединения.
Рис.1
Начиная с Chrome 82, выход которого запланирован на апрель,
Google хочет устранить эту проблему, сначала предупредив пользователей, а затем
заблокировав «смешанные загрузки контента» через HTTP, который может состоять
из исполняемых файлов HTTP (таких как .exe и. apk-файлы), архивы (например,
файлы .zip или .iso), мультимедийные файлы (например, файлы .png, .mp3) и все
другие «небезопасные» типы (.pdf, .docx и т. д.).
«Небезопасно загруженные файлы - это риск для безопасности и
конфиденциальности пользователей», - сказал Джо ДеБласио из команды
безопасности Chrome в четверг. «Например, злонамеренно загруженные программы
могут быть заменены злоумышленниками на вредоносное ПО, а перехватчики могут
читать небезопасно загруженные банковские выписки пользователей. Чтобы
устранить эти риски, мы планируем в конечном итоге прекратить поддержку
небезопасных загрузок в Chrome ».
Google, который впервые
отклонил предложения по этой идее в апреле прошлого года, наметил план
действий, чтобы в конечном итоге запретить загрузку файлов в течение следующих
семи месяцев. Начиная с Chrome 82, GoogleChrome сначала просто предупреждает
пользователей, загружают ли они исполняемые файлы по HTTP-соединению, а затем с
Chrome 83 (июнь 2020 г.) браузер начинает блокировать их. Он будет делать то же
самое с другими загрузками смешанного контента, пока не заблокирует все в
Chrome 86, выпуск которого запланирован на сентябрь 2020 года.
«Типы файлов, представляющие наибольший риск для
пользователей (например, исполняемые файлы), будут затронуты в первую очередь,
а последующие выпуски будут охватывать больше типов файлов», - говорит
ДеБласио. «Это постепенное развертывание предназначено для быстрого снижения рисков,
предоставляя разработчикам возможности обновлять сайты и минимизировать
количество предупреждений, которые должны видеть пользователи Chrome».
Постепенное развертывание также даст разработчикам
возможность начать полную миграцию на HTTPS, гарантируя, что загрузки на их
веб-сайтах также используют HTTPS-соединения. Google также заявил, что в
текущей версии ChromeCanary (веб-браузер Google предназначен для разработчиков)
и в Chrome 81 (после его выпуска) разработчики могут активировать
предупреждение для всех загрузок смешанного контента для тестирования, включив
«Обрабатывать рискованные загрузки через небезопасные». соединения как активный
смешанный контент »в [chrome: // flags / #
Treat-unsafe-downloads-as-active-content].
Фаусто Оливейра, главный архитектор безопасности в Acceptto,
сказал, что этот шаг - «хорошая идея».
«Мы использовали HTTPS как стандарт де-факто для
веб-страниц, однако, к сожалению, некоторые реализации, такие как упомянутые
Google (то есть банковские выписки), приходят в ваш браузер незашифрованными»,
- сказал он. «Это позволяет любому, кто находится посередине, иметь доступ к
конфиденциальным данным. Я надеюсь, что этот шаг со стороны Google приведет к
тому, что другие браузеры будут блокировать загрузку файлов из незашифрованных
соединений».
Комментариев нет:
Отправить комментарий