Google un plan para agregar nuevos mecanismos de protección contra descargas inseguras de archivos en Chrome. En Chrome 86, cuyo lanzamiento está previsto para el 26 de octubre, la descarga de todo tipo de archivos a través de enlaces desde páginas abiertas a través de HTTPS sólo será posible si los archivos se entregan mediante el protocolo HTTPS. Cabe señalar que la descarga de archivos sin cifrado se puede utilizar para llevar a cabo actividades maliciosas mediante la sustitución de contenido durante los ataques MITM (por ejemplo, el malware que ataca los enrutadores domésticos puede reemplazar las aplicaciones descargadas o interceptar documentos confidenciales).
El bloqueo se implementará gradualmente, a partir del lanzamiento de Chrome 82, en el que comenzará a aparecer una advertencia al intentar descargar archivos ejecutables de forma insegura a través de enlaces desde páginas HTTPS. En Chrome 83, se habilitará el bloqueo para archivos ejecutables y se comenzará a emitir una advertencia para los archivos. Chrome 84 habilitará el bloqueo de archivos y una advertencia para los documentos. En Chrome 85 se bloquearán los documentos y comenzará a aparecer una advertencia por descargas inseguras de imágenes, vídeos, audio y texto, que comenzarán a bloquearse en Chrome 86.
En un futuro más lejano, hay planes para dejar de admitir por completo la carga de archivos sin cifrado. En las versiones para Android e iOS, el bloqueo se implementará con un retraso de una versión (en lugar de Chrome 82, en 83, etc.). En Chrome 81, aparecerá en la configuración la opción “chrome://flags/#treat-unsafe-downloads-as-active-content”, lo que le permitirá habilitar advertencias sin esperar a que se lance Chrome 82.
Fuente: opennet.ru