Chrome начнёт блокировать загрузку файлов по HTTP

Компания Google опубликовала план добавления в Chrome новых механизмов защиты от небезопасной загрузки файлов. В Chrome 86, релиз которого намечен на 26 октября, загрузка всех видов файлов по ссылкам со страниц, открытых по HTTPS, будет возможна только при отдаче файлов с использованием протокола HTTPS. Отмечается, что загрузка файлов без шифрования может использоваться для совершения вредоносной активности через подмену содержимого в процессе MITM-атак (например, поражающее домашние маршрутизаторы вредоносное ПО может подменять загружаемые приложения или перехватывать конфиденциальные документы).

Блокировка будет внедряться постепенно, начиная с выпуска Chrome 82, в котором при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS начнёт выдаваться предупреждение. В Chrome 83 для исполняемых файлов будет включена блокировка, а предупреждение начнёт выдаваться для архивов. В Chrome 84 будет активирована блокировка архивов и вывод предупреждения для документов. В Chrome 85 документы будут блокироваться, а предупреждение начнёт выводиться при небезопасной загрузке изображений, видео, звука и текста, которые начнут блокироваться в Chrome 86.

В более отдалённом будущем планируется полностью прекратить поддержку загрузки файлов без применения шифрования. В выпусках для Android и iOS блокировка будет внедряться с отставанием на один выпуск (вместо Сhrome 82 — в 83 и т.п.). В Chrome 81 в настройках появится опция «chrome://flags/#treat-unsafe-downloads-as-active-content», которая позволит включить вывод предупреждений, не дожидаясь выхода Сhrome 82.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52329