TeamQuest Blog

Chrome uniemożliwi pobieranie plików z nieszyfrowanych hostów

Chrome uniemożliwi pobieranie plików z nieszyfrowanych hostów News!

Adam Golański , 08.02.2020 r.

Przywykliśmy do blokowania przesyłania plików w ramach usług Google’a – oczywiście dla naszego bezpieczeństwa. Zakres kontroli firmy z Mountain View nad tym, co ludzie robią ze swoją przeglądarką będzie się tylko rozszerzać: już niedługo nie będziemy mogli pobrać za pomocą Chrome nawet plików tekstowych z hostów serwujących je po nieszyfrowanym HTTP. W ten sposób producent przeglądarki chce zmniejszyc powierzchnię ataku, a to, że przy okazji uczyni znaczną część „starego” webu niedostępną dla użytkowników, nie ma przecież większego znaczenia.

Posunięcie Google’a ma w praktyce wyeliminować z sieci tzw. zawartość mieszaną, która powstaje, gdy kod HTML ładowany jest po bezpiecznym HTTPS, ale inne zasoby (takie jak obrazy, filmy, arkusze stylów, czy skrypty) są ładowane przez nieszyfrowane HTTP. Wówczas to zarówno zawartość HTTP, jak i HTTPS jest ładowana w celu wyświetlenia tej samej strony, mimo że początkowe żądanie zostało zabezpieczone za pomocą HTTPS.

Joe DeBlasio z zespołu bezpieczeństwa Chrome zauważył, że obecnie przeglądarka ta nie ostrzega użytkowników, że pobierane przez nich pliki ze stron HTTPS mogą być niebezpieczne – a przecież użytkownik znajdujący się na bezpiecznej stronie oczekiwałby, że wszystko co dostanie będzie bezpieczne. Tymczasem napastnik może podejrzeć takie niebezpiecznie pobierane pliki, a nawet podmienić ich zawartość na złośliwą.

Przygotowano więc plan stopniowego ograniczenia użytkownikom dostępu do tak niebezpiecznie serwowanych plików.

  1. Chrome 82, którego wydanie przypada na kwiecień 2020 roku, zacznie wyświetlać ostrzeżenia przez pobraniem plików wykonywalnych po HTTP w kontekście strony serwowanej przez HTTPS.
  2. Chrome 83, planowany na czerwiec, całkowicie zablokuje możliwość pobierania plików wykonywalnych po HTTP w takim kontekście i zacznie wyświetlać ostrzeżenia przy pobieraniu wszelkiego rodzaju archiwów (.zip, .rar, .iso itp.)
  3. Chrome 84, planowany na sierpień, zablokuje dodatkowo możliwość pobierania archiwów, a zacznie ostrzegać przez pobieraniem binarnych plików dokumentów (np. .docx czy .pdf)
  4. Chrome 85, którego wydanie planowane jest na wrzesień, uniemożliwi pobieranie binarnych plików dokumentów, a ostrzegać będzie przed wszelkiego rodzaju plikami mediów (np. .jpg czy .mp3) i tekstu.
  5. Wreszcie zaś planowany na październik Chrome 86 całkowicie zablokuje możliwość pobierania jakichkolwiek plików ze stron z zawartością mieszaną.

Powyższy plan dotyczy przeglądarek desktopowych. Mobilne Chrome na Androida i iOS-a również doczeka się jego wdrożenia, tylko że z opóźnieniem o jedno wydanie, tak że ostateczna blokada pobierania plików ze stron z zawartością mieszaną nastąpi w wersji 87 przeglądarki.

Chrome file block

Troska o bezpieczeństwo kontra troska o dostępność

Choć początkowo Google wspominało, że użytkownicy będą mogli wyłączyć tak daleko posuniętą troskę o pobieranie przez nich plików, to teraz okazało się, że przywilej ten pozostawiony będzie tylko użytkownikom korporacyjnym i szkolnym. Będą oni mogli w polityce InsecureContentAllowedForUrl definiować wzorce pasujące do stron HTTPS z plikami serwowanymi po HTTP.

Co z pozostałymi? Tego póki co Google nie wyjaśniło. W dyskusji, jaka wywiązała się na Twitterze, DeBlasio wspomina, że ma nadzieję, że skoro coraz większa część sieci staje się zabezpieczona HTTPS, to problem nie będzie tak dotkliwy. Przyznaje zarazem rację krytykom, twierdzącym, że nie da się magicznie wprowadzić HTTPS na strony, których nie kontrolują, a zmiany w Chrome w praktyce uniemożliwiają linkowanie do niezabezpieczonych HTTPS zasobów. Jako że znaczna część Internetu to ogromne archiwa statycznych treści, które nigdy nie zostaną zaktualizowane, deweloperzy Chrome obecnie zastanawiają się, jak rozwiązać kwestię zapewnienia do nich dostępu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej