Google zadecydowało, że przeglądarka Chrome będzie kluczowym czynnikiem ograniczającym pole działania hakerom i cyberprzestępcom. Chrome ma blokować pobieranie, wczytywanie się plików i zasobów WWW ze stron, które będą obsługiwały protokół HTTPS i jednocześnie korzystały z nieszyfrowanego protokołu HTTP.
Obsługa dwóch protokołów jednocześnie to kiepski pomysł. Da się to zauważyć na stronach, które pozwalają na wczytywanie zasobów witryny (np. pliki JS, CSS, obrazki) tak zwanym „mix-content”, czyli trybem mieszanym — części strony jest ładowana po HTTPS, a np. obrazki lub inne statyczne treści są wczytywane nieszyfrowanym kanałem HTTP. Wówczas tryb dla deweloperów w przeglądarce podpowiada, który link należy poprawić — często wystarczy zmienić w URL HTTP na HTTPS.
Nieświadome bądź umyślne korzystanie z mix-content jest dużym błędem, ponieważ przeglądarka zwraca również uwagę na problem z certyfikatem. Z drugiej strony żaden certyfikat SSL nie zagwarantuje bezpieczeństwa użytkowników, ponieważ dzisiaj każdy i za darmo może wdrożyć SSL/TLS. Postawienie szyfrowanej strony nie jest dla przestępców żadną przeszkodą. Co więcej nawet przeglądarki nie oznaczają już stron szyfrowanych „zieloną kłódką”.
Google zapowiedziało, że wraz z kolejnymi wersjami będzie wprowadzało ostrzeżenia w konsoli np. dla pobierania plików wykonywalnych (EXE, JPK i innych), by później rozszerzyć tę listę na pliki graficzne, muzyczne, dokumenty, aż w końcu w Chrome 86, wczytywanie takich plików/treści na stronach, będzie blokowane domyślnie.
Decyzja Google na planie wydawniczym Chrome wygląda następująco:
Na początek w Chrome 81 pobierane / wczytywane pliki wykonywalne spowodują wyświetlenie ostrzeżenia w konsoli dla deweloperów (skrót F12). Od wersji Chrome 82 przeglądarka będzie wyświetlała ostrzeżenie dla użytkownika przy wyszególnionych plikach wykonywalnych. W wersjach kolejnych dostępność niektórych typów plików poprzez nieszyfrowany protokół HTTP zostanie zablokowana na stałe, jeżeli zasób będzie wczytywany / pobierany na stronie z tzw. mix-content.
Nie jest wiadome czy z czasem poniższa flaga zostanie usunięta. Od Chrome 81 będzie można przejść do ustawień zaawansowanych i wyłączyć ochronę dla celów deweloperskich bądź testowych.
chrome://flags/#treat-unsafe-downloads-as-active-content
Ustawienie ma być aktywne w Chrome dla każdego i bez wyjątku pod Windows, macOS, ChromeOS, Linux. W systemach mobilnych zmiana będzie wprowadzana zawsze w wersji późniejszej.
