گوگل طرحی برای افزودن مکانیسمهای جدید برای محافظت در برابر بارگیریهای ناامن فایل در کروم. در کروم 86 که برای انتشار در 26 اکتبر برنامه ریزی شده است، دانلود انواع فایل ها از طریق پیوند از صفحات باز شده از طریق HTTPS تنها در صورتی امکان پذیر خواهد بود که فایل ها با استفاده از پروتکل HTTPS ارائه شوند. خاطرنشان می شود که دانلود فایل های بدون رمزگذاری می تواند برای انجام فعالیت های مخرب از طریق جایگزینی محتوا در طول حملات MITM مورد استفاده قرار گیرد (به عنوان مثال، بدافزاری که به روترهای خانگی حمله می کند می تواند جایگزین برنامه های دانلود شده یا رهگیری اسناد محرمانه شود).
مسدودسازی به تدریج اجرا میشود و با انتشار کروم 82 شروع میشود، که در آن هنگام تلاش برای دانلود ناامن فایلهای اجرایی از طریق پیوندها از صفحات HTTPS، یک هشدار ظاهر میشود. در Chrome 83، مسدود کردن برای فایلهای اجرایی فعال میشود و یک هشدار برای بایگانیها شروع میشود. Chrome 84 مسدود کردن بایگانی و یک هشدار برای اسناد را فعال می کند. در Chrome 85، اسناد مسدود میشوند و هشداری برای دانلود ناامن تصاویر، ویدیوها، صدا و متن ظاهر میشود که در Chrome 86 مسدود میشود.
در آینده ای دورتر، برنامه هایی برای توقف کامل پشتیبانی از آپلود فایل بدون رمزگذاری وجود دارد. در نسخههای اندروید و iOS، مسدودسازی با تاخیر یک نسخه (بهجای Chrome 82 - در سال 83 و غیره) اجرا میشود. در کروم 81، گزینه «chrome://flags/#treat-unsafe-downloads-as-active-content» در تنظیمات ظاهر میشود که به شما امکان میدهد اخطارها را بدون انتظار برای انتشار Chrome 82 فعال کنید.
منبع: opennet.ru