Google zmusi do używania full-HTTPS. Tak zwany mix-content będzie natywnie blokowany

10 lutego, 2020

Google zadecydowało, że przeglądarka Chrome będzie kluczowym czynnikiem ograniczającym pole działania hakerom i cyberprzestępcom. Chrome ma blokować pobieranie, wczytywanie się plików i zasobów WWW ze stron, które będą obsługiwały protokół HTTPS i jednocześnie korzystały z nieszyfrowanego protokołu HTTP.

Obsługa dwóch protokołów jednocześnie to kiepski pomysł. Da się to zauważyć na stronach, które pozwalają na wczytywanie zasobów witryny (np. pliki JS, CSS, obrazki) tak zwanym „mix-content”, czyli trybem mieszanym — części strony jest ładowana po HTTPS, a np. obrazki lub inne statyczne treści są wczytywane nieszyfrowanym kanałem HTTP. Wówczas tryb dla deweloperów w przeglądarce podpowiada, który link należy poprawić — często wystarczy zmienić w URL HTTP na HTTPS.

Mix-content.

Nieświadome bądź umyślne korzystanie z mix-content jest dużym błędem, ponieważ przeglądarka zwraca również uwagę na problem z certyfikatem. Z drugiej strony żaden certyfikat SSL nie zagwarantuje bezpieczeństwa użytkowników, ponieważ dzisiaj każdy i za darmo może wdrożyć SSL/TLS. Postawienie szyfrowanej strony nie jest dla przestępców żadną przeszkodą. Co więcej nawet przeglądarki nie oznaczają już stron szyfrowanych „zieloną kłódką”.

Google zapowiedziało, że wraz z kolejnymi wersjami będzie wprowadzało ostrzeżenia w konsoli np. dla pobierania plików wykonywalnych (EXE, JPK i innych), by później rozszerzyć tę listę na pliki graficzne, muzyczne, dokumenty, aż w końcu w Chrome 86, wczytywanie takich plików/treści na stronach, będzie blokowane domyślnie.

Decyzja Google na planie wydawniczym Chrome wygląda następująco:

Zmiany w Google Chrome dla mix-content

Na początek w Chrome 81 pobierane / wczytywane pliki wykonywalne spowodują wyświetlenie ostrzeżenia w konsoli dla deweloperów (skrót F12). Od wersji Chrome 82 przeglądarka będzie wyświetlała ostrzeżenie dla użytkownika przy wyszególnionych plikach wykonywalnych. W wersjach kolejnych dostępność niektórych typów plików poprzez nieszyfrowany protokół HTTP zostanie zablokowana na stałe, jeżeli zasób będzie wczytywany / pobierany na stronie z tzw. mix-content.

Nie jest wiadome czy z czasem poniższa flaga zostanie usunięta. Od Chrome 81 będzie można przejść do ustawień zaawansowanych i wyłączyć ochronę dla celów deweloperskich bądź testowych.

chrome://flags/#treat-unsafe-downloads-as-active-content

Przykładowy komunikat blokowania pliku EXE.

Ustawienie ma być aktywne w Chrome dla każdego i bez wyjątku pod Windows, macOS, ChromeOS, Linux. W systemach mobilnych zmiana będzie wprowadzana zawsze w wersji późniejszej.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]