Jak už možná víte, Google a jeho webový prohlížeč zahájili válku proti prostému protokolu HTTP. Nedávno vydaný Chrome 80 vynutí načítání prostředků HTTP prostřednictvím protokolu HTTPS, jinak je ponechá blokovány až do explicitní interakce uživatele. Společnost odhaluje další krok, který by podnikli, tentokrát proti stahování HTTP.
Reklama
Chrome postupně zajistí, aby zabezpečené (HTTPS) stránky stahovaly pouze zabezpečené soubory. Prohlížeč začne blokovat „stahování smíšeného obsahu“ (stahování bez HTTPS zahájeno na zabezpečených stránkách).
Oficiální příspěvek na blogu odhaluje co je za touto změnou.
Nejistě stažené soubory představují riziko pro bezpečnost a soukromí uživatelů. Například nezabezpečeně stažené programy mohou útočníci vyměnit za malware a odposlouchávače mohou číst nezabezpečeně stažené bankovní výpisy uživatelů. Abychom tato rizika vyřešili, plánujeme nakonec odstranit podporu pro nezabezpečené stahování v Chromu.
jak udělat novou roli v neshodě
Google plánuje nejprve aplikovat omezení na stahování smíšeného obsahu na desktopové platformy (Windows, macOS, Chrome OS a Linux). Plán desktopových platforem vypadá následovně:
Tak,Chrome 81
(vydáno v březnu 2020) vytiskne upozornění na zprávu konzoly o všech stahováních smíšeného obsahu;Chrome 82
zobrazí varování; Začíná vChrome 83
všechny typy obsahu ke stažení budou postupně blokovány.
Po říjnu 2020 bude Chrome blokovat všechna stahování smíšeného obsahu.
určit verzi Powershellu
Zainteresovaní uživatelé mohou aktivovat varování u všech stahování smíšeného obsahu pro testování povolením příznaku „Považovat riziková stahování přes nezabezpečená připojení za aktivní smíšený obsah“ nachrome: // flags / # Treat-unsafe-downloads-as-active-content
.
Google odloží zavedení u verzí Chrome pro Android a iOS o jedno vydání. To znamená, že upozornění na nezabezpečená stahování se nejprve zobrazí v prohlížeči Chrome 83, nikoli v prohlížeči Chrome 82.
Zákazníci v oblasti podnikání a vzdělávání mohou blokovat blokování na základě jednotlivých stránek prostřednictvím existujícíhoInsecureContentAllowedForUrls
zásady přidáním vzoru, který odpovídá stránce požadující stažení.