Google zadecydowało, że przeglądarka Chrome będzie kluczowym czynnikiem ograniczającym pole działania hakerom i cyberprzestępcom. Chrome ma blokować pobieranie, wczytywanie się plików i zasobów WWW ze stron, które będą obsługiwały protokół HTTPS i jednocześnie korzystały z nieszyfrowanego protokołu HTTP.

Obsługa dwóch protokołów jednocześnie to kiepski pomysł. Da się to zauważyć na stronach, które pozwalają na wczytywanie zasobów witryny (np. pliki JS, CSS, obrazki) tak zwanym „mix-content”, czyli trybem mieszanym — części strony jest ładowana po HTTPS, a np. obrazki lub inne statyczne treści są wczytywane nieszyfrowanym kanałem HTTP. Wówczas tryb dla deweloperów w przeglądarce podpowiada, który link należy poprawić — często wystarczy zmienić w URL HTTP na HTTPS.

Mix-content.

Nieświadome bądź umyślne korzystanie z mix-content jest dużym błędem, ponieważ przeglądarka zwraca również uwagę na problem z certyfikatem. Z drugiej strony żaden certyfikat SSL nie zagwarantuje bezpieczeństwa użytkowników, ponieważ dzisiaj każdy i za darmo może wdrożyć SSL/TLS. Postawienie szyfrowanej strony nie jest dla przestępców żadną przeszkodą. Co więcej nawet przeglądarki nie oznaczają już stron szyfrowanych „zieloną kłódką”.

Google zapowiedziało, że wraz z kolejnymi wersjami będzie wprowadzało ostrzeżenia w konsoli np. dla pobierania plików wykonywalnych (EXE, JPK i innych), by później rozszerzyć tę listę na pliki graficzne, muzyczne, dokumenty, aż w końcu w Chrome 86, wczytywanie takich plików/treści na stronach, będzie blokowane domyślnie.

Decyzja Google na planie wydawniczym Chrome wygląda następująco:

Zmiany w Google Chrome dla mix-content

Na początek w Chrome 81 pobierane / wczytywane pliki wykonywalne spowodują wyświetlenie ostrzeżenia w konsoli dla deweloperów (skrót F12). Od wersji Chrome 82 przeglądarka będzie wyświetlała ostrzeżenie dla użytkownika przy wyszególnionych plikach wykonywalnych. W wersjach kolejnych dostępność niektórych typów plików poprzez nieszyfrowany protokół HTTP zostanie zablokowana na stałe, jeżeli zasób będzie wczytywany / pobierany na stronie z tzw. mix-content.

Nie jest wiadome czy z czasem poniższa flaga zostanie usunięta. Od Chrome 81 będzie można przejść do ustawień zaawansowanych i wyłączyć ochronę dla celów deweloperskich bądź testowych.

chrome://flags/#treat-unsafe-downloads-as-active-content

Przykładowy komunikat blokowania pliku EXE.
Przykładowy komunikat blokowania pliku EXE.

Ustawienie ma być aktywne w Chrome dla każdego i bez wyjątku pod Windows, macOS, ChromeOS, Linux. W systemach mobilnych zmiana będzie wprowadzana zawsze w wersji późniejszej.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz