A nem biztonságos letöltésekkel is leszámol a Chrome böngésző
A vállalat a HTTPS oldalakról indított, mezei HTTP-t használó letöltéseket már tavasszal blokkolni kezdi.
Hamarosan blokkolni kezdi biztonsági kockázatot hordozó letöltéseket a Chrome - jelentette be a Google böngészőjének biztonsági csapata. A vállalat az utóbbi hetekben lendületesen gyomlálja a nem biztonságos vagy bosszantó tartalmakat, a cég múlt héten közölte, hogy a felhasználókat különösen zavaró reklámokat nyáron kitiltja a böngészőből. A szoftver ugyancsak múlt héten bemutatkozott, 80-as főverziója az értesítési engedélykérésekre kötött gyeplőt, illetve a HTTP-n betöltődő hangos és videós tartalmakat is elkezdte automatikusan HTTPS-re áthelyezni.
Ez utóbbi a cég ígérete szerint idén a letöltésekre is kiterjed majd: a HTTPS oldalaknál a böngésző hamarosan csak az ugyancsak HTTPS-re támaszkodó fájlletöltéseket engedélyezi. A Chrome várhatóan már tavasszal blokkolni kezdi az úgynevezett "kevert tartalmú" vagyis a HTTPS oldalakról indított, de mezei HTTP-t használó letöltéseket. A lépés nem meglepő, a vállalat egy ideje már világossá tette, hogy szabadulni igyekszik a hasonló tartalmaktól, amelyeknek több lépcsőben teszi ki a szűrét böngészőjéből.
A titkosítatlan kapcsolatokon keresztül letöltött fájlok, ahogy a cég kapcsolódó blogposztjában is kiemeli, számottevő biztonsági kockázatot hordoznak, azokat potenciális támadók észrevétlenül malware-re cserélhetik, valamint érzékeny adatokat tartalmazó letöltéseknél azok tartalmához is hozzáférhetnek. A Chrome jelenleg nem jelzi, ha egy HTTPS-t használó oldalról titkosítás nélküli kapcsolaton indul letöltés - ez különösen nagy probléma, hiszen a felhasználóknak az URL-sávban található lakat hamis biztonságérzetet adhat.
Első lépésként tehát a Chrome, egész pontosan a böngésző áprilisban várható, 82-es főverziója ezt a problémát orvosolja majd úgy, hogy fokozatosan elkezdi figyelmeztetni a felhasználókat, ha nem biztonságos letöltést indítanának - később pedig blokkolja is a kevert tartalmú letöltéseket. Az intézkedést a cég több lépcsőben vezeti be, elsőként a legnagyobb biztonsági kockázatot hordozó fájltípusoknál, például parancsfájloknál, a későbbiekben pedig minden típusra kiterjesztve azt. A megoldás fokozatos bevezetésével a cég igyekszik időt adni a fejlesztőknek, hogy ha kell, frissítsék oldalaikat.
Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.
Az első konkrét letöltésblokkolások a vállalat ütemterve szerint a Chrome 83-ban várhatók, az említett parancsfájloknál, a böngésző pedig a 86-os főverziónál már minden ilyen jellegű letöltésre kiterjeszti azokat. A nagyvállalati ügyfeleknek persze igény szerint lesz lehetőségük a blokkolás feloldására, ehhez azonban a kivételezett oldalakat egyenként kell majd beállítaniuk.
Ugyanezt az intézkedést a Google a mobilos platformokon egy főverziónyi csúszással vezeti be, miután a cég szerint Androidon és iOS-en is erősebb natív védelmet élveznek a felhasználók a kártékony fájlok ellen, illetve így további időt tud biztosítani fejlesztőknek, HTTPS lemaradásaik pótlására.