Przywykliśmy do blokowania przesyłania plików w ramach usług Google’a – oczywiście dla naszego bezpieczeństwa. Zakres kontroli firmy z Mountain View nad tym, co ludzie robią ze swoją przeglądarką będzie się tylko rozszerzać: już niedługo nie będziemy mogli pobrać za pomocą Chrome nawet plików tekstowych z hostów serwujących je po nieszyfrowanym HTTP. W ten sposób producent przeglądarki chce zmniejszyc powierzchnię ataku, a to, że przy okazji uczyni znaczną część „starego” webu niedostępną dla użytkowników, nie ma przecież większego znaczenia.
Posunięcie Google’a ma w praktyce wyeliminować z sieci tzw. zawartość mieszaną, która powstaje, gdy kod HTML ładowany jest po bezpiecznym HTTPS, ale inne zasoby (takie jak obrazy, filmy, arkusze stylów, czy skrypty) są ładowane przez nieszyfrowane HTTP. Wówczas to zarówno zawartość HTTP, jak i HTTPS jest ładowana w celu wyświetlenia tej samej strony, mimo że początkowe żądanie zostało zabezpieczone za pomocą HTTPS.
Joe DeBlasio z zespołu bezpieczeństwa Chrome zauważył, że obecnie przeglądarka ta nie ostrzega użytkowników, że pobierane przez nich pliki ze stron HTTPS mogą być niebezpieczne – a przecież użytkownik znajdujący się na bezpiecznej stronie oczekiwałby, że wszystko co dostanie będzie bezpieczne. Tymczasem napastnik może podejrzeć takie niebezpiecznie pobierane pliki, a nawet podmienić ich zawartość na złośliwą.
Przygotowano więc plan stopniowego ograniczenia użytkownikom dostępu do tak niebezpiecznie serwowanych plików.
- Chrome 82, którego wydanie przypada na kwiecień 2020 roku, zacznie wyświetlać ostrzeżenia przez pobraniem plików wykonywalnych po HTTP w kontekście strony serwowanej przez HTTPS.
- Chrome 83, planowany na czerwiec, całkowicie zablokuje możliwość pobierania plików wykonywalnych po HTTP w takim kontekście i zacznie wyświetlać ostrzeżenia przy pobieraniu wszelkiego rodzaju archiwów (.zip, .rar, .iso itp.)
- Chrome 84, planowany na sierpień, zablokuje dodatkowo możliwość pobierania archiwów, a zacznie ostrzegać przez pobieraniem binarnych plików dokumentów (np. .docx czy .pdf)
- Chrome 85, którego wydanie planowane jest na wrzesień, uniemożliwi pobieranie binarnych plików dokumentów, a ostrzegać będzie przed wszelkiego rodzaju plikami mediów (np. .jpg czy .mp3) i tekstu.
- Wreszcie zaś planowany na październik Chrome 86 całkowicie zablokuje możliwość pobierania jakichkolwiek plików ze stron z zawartością mieszaną.
Powyższy plan dotyczy przeglądarek desktopowych. Mobilne Chrome na Androida i iOS-a również doczeka się jego wdrożenia, tylko że z opóźnieniem o jedno wydanie, tak że ostateczna blokada pobierania plików ze stron z zawartością mieszaną nastąpi w wersji 87 przeglądarki.
Troska o bezpieczeństwo kontra troska o dostępność
Choć początkowo Google wspominało, że użytkownicy będą mogli wyłączyć tak daleko posuniętą troskę o pobieranie przez nich plików, to teraz okazało się, że przywilej ten pozostawiony będzie tylko użytkownikom korporacyjnym i szkolnym. Będą oni mogli w polityce InsecureContentAllowedForUrl definiować wzorce pasujące do stron HTTPS z plikami serwowanymi po HTTP.
Co z pozostałymi? Tego póki co Google nie wyjaśniło. W dyskusji, jaka wywiązała się na Twitterze, DeBlasio wspomina, że ma nadzieję, że skoro coraz większa część sieci staje się zabezpieczona HTTPS, to problem nie będzie tak dotkliwy. Przyznaje zarazem rację krytykom, twierdzącym, że nie da się magicznie wprowadzić HTTPS na strony, których nie kontrolują, a zmiany w Chrome w praktyce uniemożliwiają linkowanie do niezabezpieczonych HTTPS zasobów. Jako że znaczna część Internetu to ogromne archiwa statycznych treści, które nigdy nie zostaną zaktualizowane, deweloperzy Chrome obecnie zastanawiają się, jak rozwiązać kwestię zapewnienia do nich dostępu.
